安全研究机构Radware近日披露了一项名为“Shadow Leak”的新型攻击实验，展示了如何利用ChatGPT的AI代理功能，诱骗其从Gmail邮箱中窃取敏感数据，而用户毫无察觉。该漏洞虽已被OpenAI在6月修复，但凸显了代理型AI带来的新型安全风险。 此次攻击利用了AI代理（AI Agent）的自主行为能力。这类工具被设计为可自动访问用户邮箱、日历和文档，执行搜索、发邮件等任务，极大提升效率。然而，攻击者通过“提示注入”（prompt injection）技术，将恶意指令隐藏在看似正常的邮件内容中，例如用白色文字嵌入白色背景，对人类不可见。 研究人员将恶意指令伪装成一封普通邮件，发送至一个已授权Deep Research（OpenAI推出的AI研究助手）访问的Gmail邮箱。当用户下次使用Deep Research功能时，AI代理会自动执行隐藏指令，主动搜索HR邮件、个人身份信息等敏感内容，并将数据悄悄传送给攻击者。 整个过程隐蔽性强，数据泄露发生在OpenAI的云端服务器，常规安全防护难以察觉。研究人员坦言，这一攻击经过大量尝试与失败，最终才实现突破。他们强调，这是首次在OpenAI云基础设施上实现的直接数据外泄攻击，具有高度隐蔽性。 Radware指出，该技术不仅限于Gmail，类似攻击可能波及与Deep Research连接的其他平台，如Outlook、GitHub、Google Drive和Dropbox，从而威胁企业合同、会议记录、客户资料等核心数据。 尽管漏洞已修复，但研究团队警示，随着AI代理功能日益普及，此类“双重间谍”式攻击将成为潜在威胁。用户需警惕授权第三方AI工具的权限范围，而企业也应加强AI系统访问与数据外传的监控机制。