Radware виявив першу вразливість типу zero-click у ChatGPT
Radware виявив першу вразливість типу zero-click у ChatGPT
Новий експлойт, що отримав назву ShadowLeak, змушує агента Deep Research ChatGPT викрадати конфіденційні дані клієнтів із серверів OpenAI.
09.10.2025
За матеріалами radware.com
Компанія Radware, постачальник рішень у галузі кібербезпеки та доставки застосунків, повідомила про невідому раніше вразливість типу zero-click, яка впливає на агента Deep Research ChatGPT. Ця вразливість, що отримала назву ShadowLeak, дає зловмисникам можливість викрадати конфіденційну інформацію користувачів без будь-яких дій з їхнього боку (таких, як відкриття вкладеного файлу або клік по URL-лінку), а також без запитів або видимих ознак порушення безпеки в мережі чи на кінцевому пристрої.
Deep Research — це потужний аналітичний інструмент у ChatGPT, запущений у лютому 2025 року. Завдяки йому ви можете дати ChatGPT завдання «прошерстити» інтернет, щоб знайти найсвіжішу інформацію на певну тематику й надати детальний та впорядкований звіт. Deep Research проаналізує вебсайти, статті і навіть PDF-файли, щоб дізнатися все, що можна знайти.
Припустімо, ви хочете використати Deep Research для створення звіту на основі електронних листів у Gmail і джерел з інтернету. Для цього користувач повинен надати агенту доступ до своєї скриньки Gmail та вебпошуку.
Звичайний запит у Deep Research може виглядати так: «Проведи глибоке дослідження моїх електронних листів відсьогодні... та збери всю інформацію про...». Однак зловмисники можуть обдурити ШІ-агента, щоб викрасти конфіденційну інформацію з поштової скриньки користувача без його згоди або відома на сервер, контрольований зловмисником.
Фахівці Radware знайшли вразливість в агенті Deep Research від ChatGPT під час підключення до Gmail та перегляду вебсторінок. Як виявилося, один спеціально створений електронний лист змушує ШІ-агента непомітно передавати зловмиснику конфіденційні дані з вхідної пошти без будь-яких дій користувача або видимого інтерфейсу.
Атака використовує непряме введення команд, яке можна приховати в HTML-коді електронного листа (дрібний шрифт, білий текст на білому тлі, інші хитрощі з макетом), тому користувач не помічає команд, але ШІ-агент все одно їх читає і виконує. Добре продумані трюки соціальної інженерії дозволяли обходити обмеження безпеки, тому атака досягала 100% успіху.
Виявлена вразливість свідчить про новий клас атак на агентів ШІ, які продовжують поширюватися на підприємствах. Ці повністю приховані, автоматизовані експлойти обходять традиційні засоби контролю безпеки. Центр досліджень безпеки Radware (RSRC), який досліджує загрози в традиційних вебзастосунках і в нових системах ШІ, успішно продемонстрував, як зловмисник використовує цю вразливість, просто надсилаючи користувачеві електронного листа. Одразу після взаємодії зі шкідливим електронним листом мав місце витік конфіденційних даних, а жертвам навіть не потрібно було для цього переглядати, відкривати чи натискати на повідомлення.
За словами Девіда Авіва, технічного директора Radware, це була типова атака zero-click. Адже вона не потребувала жодних дій з боку користувача, ба більше, жертви навіть не могли виявити, що їхні дані були скомпрометовані. Усе відбувалося за лаштунками через автономні дії агента на хмарному сервері OpenAI.
Особливість вразливості ShadowLeak полягає в тому, що це перший випадок витоку конфіденційних даних виключно на стороні сервера. Адже агент Deep Research ChatGPT, що працює в хмарі OpenAI, самостійно, без будь-яких дій з боку користувача здійснює передачу конфіденційних даних із серверів OpenAI. На відміну від раніше розкритих атак zero-click, ShadowLeak працює незалежно і не залишає слідів на рівні мережі. Це робить загрози надзвичайно важкими для виявлення з позиції бізнес-клієнта ChatGPT.
Дослідження з'явилося в ключовий момент для впровадження ШІ на підприємствах. В інтерв'ю CNBC у серпні 2025 року Нік Терлі, віцепрезидент з продуктів ChatGPT, заявив, що чатбот має 5 мільйонів платних бізнес-користувачів. Так він окреслив потенційний масштаб ризику. Висновки Radware свідчать, що організації, які покладаються виключно на заходи безпеки сервіс-провайдерів або традиційні засоби захисту, — вразливі для нового класу атак на штучний інтелект.
Відповідно до протоколів відповідального розкриття інформації, компанія Radware проінформувала OpenAI про вразливість іще 18 червня 2025 року. OpenAI визнала існування проблеми та на початку вересня повідомила Radware про її усунення. Це відкриття ще раз підкреслює відданість Radware кібербезпеці шляхом передбачення загроз, які традиційні інструменти виявити не спроможні.
Компанія Radware, постачальник рішень у галузі кібербезпеки та доставки застосунків, повідомила про невідому раніше вразливість типу zero-click, яка впливає на агента Deep Research ChatGPT. Ця вразливість, що отримала назву ShadowLeak, дає зловмисникам можливість викрадати конфіденційну інформацію користувачів без будь-яких дій з їхнього боку (таких, як відкриття вкладеного файлу або клік по URL-лінку), а також без запитів або видимих ознак порушення безпеки в мережі чи на кінцевому пристрої.
Deep Research — це потужний аналітичний інструмент у ChatGPT, запущений у лютому 2025 року. Завдяки йому ви можете дати ChatGPT завдання «прошерстити» інтернет, щоб знайти найсвіжішу інформацію на певну тематику й надати детальний та впорядкований звіт. Deep Research проаналізує вебсайти, статті і навіть PDF-файли, щоб дізнатися все, що можна знайти.
Припустімо, ви хочете використати Deep Research для створення звіту на основі електронних листів у Gmail і джерел з інтернету. Для цього користувач повинен надати агенту доступ до своєї скриньки Gmail та вебпошуку.
Звичайний запит у Deep Research може виглядати так: «Проведи глибоке дослідження моїх електронних листів відсьогодні... та збери всю інформацію про...». Однак зловмисники можуть обдурити ШІ-агента, щоб викрасти конфіденційну інформацію з поштової скриньки користувача без його згоди або відома на сервер, контрольований зловмисником.
Фахівці Radware знайшли вразливість в агенті Deep Research від ChatGPT під час підключення до Gmail та перегляду вебсторінок. Як виявилося, один спеціально створений електронний лист змушує ШІ-агента непомітно передавати зловмиснику конфіденційні дані з вхідної пошти без будь-яких дій користувача або видимого інтерфейсу.
Атака використовує непряме введення команд, яке можна приховати в HTML-коді електронного листа (дрібний шрифт, білий текст на білому тлі, інші хитрощі з макетом), тому користувач не помічає команд, але ШІ-агент все одно їх читає і виконує. Добре продумані трюки соціальної інженерії дозволяли обходити обмеження безпеки, тому атака досягала 100% успіху.
Виявлена вразливість свідчить про новий клас атак на агентів ШІ, які продовжують поширюватися на підприємствах. Ці повністю приховані, автоматизовані експлойти обходять традиційні засоби контролю безпеки. Центр досліджень безпеки Radware (RSRC), який досліджує загрози в традиційних вебзастосунках і в нових системах ШІ, успішно продемонстрував, як зловмисник використовує цю вразливість, просто надсилаючи користувачеві електронного листа. Одразу після взаємодії зі шкідливим електронним листом мав місце витік конфіденційних даних, а жертвам навіть не потрібно було для цього переглядати, відкривати чи натискати на повідомлення.
За словами Девіда Авіва, технічного директора Radware, це була типова атака zero-click. Адже вона не потребувала жодних дій з боку користувача, ба більше, жертви навіть не могли виявити, що їхні дані були скомпрометовані. Усе відбувалося за лаштунками через автономні дії агента на хмарному сервері OpenAI.
Особливість вразливості ShadowLeak полягає в тому, що це перший випадок витоку конфіденційних даних виключно на стороні сервера. Адже агент Deep Research ChatGPT, що працює в хмарі OpenAI, самостійно, без будь-яких дій з боку користувача здійснює передачу конфіденційних даних із серверів OpenAI. На відміну від раніше розкритих атак zero-click, ShadowLeak працює незалежно і не залишає слідів на рівні мережі. Це робить загрози надзвичайно важкими для виявлення з позиції бізнес-клієнта ChatGPT.
Підприємства, що впроваджують ШІ, більше не можуть покладатися лише на вбудовані засоби захисту«Підприємства, що впроваджують ШІ, не можуть покладатися лише на вбудовані засоби захисту для запобігання зловживанням, — наголосив Паскаль Гіненс, директор з кібербезпеки в Radware. — Наше дослідження підкреслює, що поєднання автономності штучного інтелекту, послуг SaaS та інтеграції з джерелами конфіденційних даних клієнтів призвело до появи абсолютно нового класу ризиків. У робочі процеси, що спираються на ШІ, в іще не передбачені способи можуть втрутитися маніпуляції, і вектори цих атак часто обходять можливості традиційних безпекових рішень, спрямованих на виявлення та контроль».
Поєднання автономності ШІ, SaaS-послуг та інтеграції з джерелами конфіденційних даних клієнтів призвело до появи абсолютно нового класу ризиків
Дослідження з'явилося в ключовий момент для впровадження ШІ на підприємствах. В інтерв'ю CNBC у серпні 2025 року Нік Терлі, віцепрезидент з продуктів ChatGPT, заявив, що чатбот має 5 мільйонів платних бізнес-користувачів. Так він окреслив потенційний масштаб ризику. Висновки Radware свідчать, що організації, які покладаються виключно на заходи безпеки сервіс-провайдерів або традиційні засоби захисту, — вразливі для нового класу атак на штучний інтелект.
Відповідно до протоколів відповідального розкриття інформації, компанія Radware проінформувала OpenAI про вразливість іще 18 червня 2025 року. OpenAI визнала існування проблеми та на початку вересня повідомила Radware про її усунення. Це відкриття ще раз підкреслює відданість Radware кібербезпеці шляхом передбачення загроз, які традиційні інструменти виявити не спроможні.
Підбір, придбання чи консультації щодо рішень Radware: (044) 538–00–06, radware@megatrade.ua
Докладніше про Radware
DefensePro X: наступний рівень захисту від DDoS
Боти замість покупців: як боротися з ШІ-агентами у трафіку e-commerce