近期，研究人员揭示了ChatGPT在启用开发者模式并使用Model Context Protocol（MCP）时可能面临的一种新型安全风险——邮件注入攻击（email injection attack）。该漏洞由牛津大学研究人员Eito Miyamura在实验中首次演示，表明攻击者仅需获取目标用户的电子邮件地址，即可通过精心构造的恶意日历邀请，诱导ChatGPT执行非法操作，从而导致敏感信息泄露。 MCP是Anthropic于2024年底推出的一项开放协议，旨在让大语言模型（LLM）能够安全地与外部应用、数据源和工具（如Gmail、Google日历等）进行交互。其本意是提升AI的实用性，例如自动安排会议、读取邮件或管理日程。然而，这一功能也带来了新的攻击面。 攻击过程如下：攻击者发送一封伪装成正常日程邀请的邮件，其中嵌入了恶意指令。当ChatGPT在开发者模式下处理该邀请时，会自动解析并执行其中的指令，而无需用户确认。这些指令可能包括“读取您的全部邮件”“导出附件”或“发送包含敏感信息的邮件”等。一旦执行，攻击者即可远程获取用户的邮箱内容，包括财务报告、商业机密、银行账户信息甚至密码。 这种攻击本质上属于“提示注入”（prompt injection）的一种变体，利用了AI对结构化输入（如日历事件）的信任机制。由于MCP允许模型主动调用外部服务，攻击者无需获取账户密码，仅靠社会工程学手段即可完成入侵。 目前，OpenAI尚未对MCP在ChatGPT中的具体实现细节完全公开，但该漏洞已引发安全社区高度关注。专家建议用户在未充分了解风险前，谨慎启用开发者模式，避免在高敏感场景中使用MCP功能。同时，平台应加强输入内容的过滤机制，限制模型对敏感操作的自动执行权限。 此次事件再次提醒：AI功能的增强往往伴随安全边界的扩展。在追求智能化便利的同时，必须同步强化防护机制，防止技术被恶意利用。