ChatGPT “影子泄露” 漏洞：黑客可隐秘窃取电子邮件数据

图片

将人工智能（AI）智能体与个人电子邮箱关联的用户，正面临一种完全无法察觉的数据窃取风险 —— 黑客可借助 OpenAI 的基础设施，在企业系统不留任何痕迹的情况下，盗取用户邮件中的敏感信息。这一被命名为 “影子泄露（ShadowLeak）” 的攻击手段，由网络安全公司 Radware 的研究人员于 2025 年春季首次发现，其隐蔽性与破坏力引发行业警惕。

01 “影子泄露”：看不见的邮件盗窃术

当用户让 ChatGPT 处理邮件（如总结未读消息）时，整个操作并非在用户本地设备完成 ——AI 智能体运行于 OpenAI 的云端服务器，通过 API 接口获取用户邮件数据，处理后再将结果反馈给用户。Radware 研究人员指出，这种 “云端处理模式” 存在关键漏洞：用户完全无法监控 “发送请求” 到 “接收反馈” 之间的操作过程，而这正是 “影子泄露” 攻击的核心突破口。

与传统的数据泄露攻击不同，“影子泄露” 无需在用户网络中留下可疑流量痕迹，其攻击流程可概括为三步：

1. 伪装邮件投递攻击者向目标发送一封外观正常的邮件，在正文中以隐蔽形式嵌入 HTML 代码 —— 例如用极小字号显示，或采用 “白字白底” 的视觉隐藏方式（注：此类文本隐藏手法并非首次出现，但结合 AI 场景后破坏力显著提升）。
2. AI 触发恶意指令当用户要求 ChatGPT 总结邮件时，云端 AI 会扫描所有邮件内容，包括隐藏的恶意代码。研究测试显示，ChatGPT 对基础恶意指令的 “响应率” 约为 50%；若攻击者在代码中加入 “紧急性描述”（如伪装成 “HR 合规核查”“紧急办公通知”），指令触发成功率会 “大幅提升”。
3. 隐秘窃取数据恶意代码会指令 AI 将用户邮件内容（或其他已授权 ChatGPT 访问的信息）发送至攻击者控制的服务器。用户最终会收到正常的邮件总结结果，但完全无法察觉数据已被窃取 —— 因为整个窃取过程发生在 OpenAI 云端，未触碰用户本地网络。

02 漏洞应对：OpenAI 已修复，但长期防护仍存挑战

Radware 于 2025 年 6 月将 “影子泄露” 漏洞上报给 OpenAI，同年 8 月研究人员发现该攻击手段已失效，9 月通过漏洞反馈平台 Bugcrowd 确认 OpenAI 已完成修复。但 OpenAI 未公开修复的具体技术细节，这引发行业对 “类似漏洞是否仍存在” 的担忧。

OpenAI 发言人在回应中强调：“安全开发模型对我们至关重要，我们采取多种措施降低恶意使用风险，并持续优化防护机制，提升模型抵御‘提示注入’等攻击的能力。研究人员的对抗性测试有助于我们改进系统，我们对此表示欢迎。”

长期防护需 “多层策略”

Radware 威胁情报总监帕斯卡・吉伦斯指出，单一防护手段无法应对 AI 时代的安全风险，长期解决方案需包含以下核心层面：

1. 指令对齐校验在 AI 智能体与新指令之间增加 “意图校验层”—— 例如当用户要求 “总结邮件” 时，若出现 “访问 ERP 系统”“发送客户数据至外部链接” 等偏离原始意图的指令，系统需暂停操作并向用户确认。“但目前这类校验机制尚未普及，当前 AI 更倾向于优先响应‘紧急指令’。”
2. 强化输入清洗与日志记录对 AI 接收的所有数据（尤其是邮件、文档等外部内容）进行深度清洗，过滤隐藏代码；同时建立 “可追溯的操作日志”，便于事后排查异常行为 —— 但需平衡 “日志完整性” 与 “用户数据隐私” 的关系。
3. AI 对抗 AI：用大语言模型（LLM）检测恶意意图传统的正则表达式、状态机等防护工具已无法应对自然语言编写的恶意指令（因其变体数量无限），需借助 LLM 技术扫描邮件、文档中的隐藏风险，“用 AI 工具防御 AI 威胁，将成为未来安全防护的重要方向”。

企业与个人的临时防护建议

对于企业用户，吉伦斯建议通过自有安全工具对 incoming 邮件进行深度检测，但需注意 “传统检测工具难以识别 AI 靶向的恶意代码”，需尽快升级具备 “自然语言风险分析” 能力的防护系统；个人用户则应谨慎授权 AI 访问敏感数据，避免让 ChatGPT 等工具获取邮箱、办公软件的 “全权限访问”。

03 延伸思考：AI 智能体安全成新战场

“影子泄露” 漏洞的本质，是 AI 与第三方应用集成时的 “权限边界模糊” 问题 — 随着越来越多用户将 AI 作为 “办公助手”，授权其访问邮件、日程、文档等敏感数据，类似的安全风险可能持续涌现。正如吉伦斯所言：“AI 正在成为未来办公的核心工具，但它同时也为黑客提供了新的攻击路径。如何在享受 AI 便利的同时守住安全底线，将是企业与个人必须面对的长期课题。”