Дослідники компанії Radware повідомили про небезпечну вразливість у ChatGPT Deep Research Agent, яка дозволяє кіберзлочинцям отримувати конфіденційні дані без будь-яких дій з боку користувача. Вразливість отримала назву ShadowLeak, пише TechRadar.
Як працює вразливість ShadowLeak
За даними Radware, ShadowLeak є першим відомим серверним zero-click експлойтом, який працює безпосередньо на хмарних серверах OpenAI. На відміну від традиційних атак, вона не вимагає кліків або взаємодії користувачів, а відбувається у фоновому режимі.
Уразливість ShadowLeak дозволяє зловмисникам викрадати дані безпосередньо з серверів OpenAI, працюючи незалежно від кінцевих пристроїв чи корпоративних мереж, що значно ускладнює її виявлення. Дослідники показали, що навіть звичайний лист із прихованими інструкціями може примусити Deep Research Agent автономно розкрити конфіденційну інформацію.
