新型“零点击”ChatGPT攻击威胁用户数据，研究人员在黑帽大会上发出警告。

安全研究人员今天在拉斯维加斯举行的黑帽黑客大会上，披露了OpenAI的ChatGPT连接器中一个关键的“零点击”漏洞，并演示了如何利用一份“投毒”文档来窃取敏感用户数据。 Zenity首席技术官Michael Bargury和Tamir Ishay Sharbat将其命名为“AgentFlayer”，这种间接提示注入攻击利用了一个漏洞，可以从Google Drive等链接服务中窃取API密钥和其他机密信息。研究人员强调了该漏洞的严重性，解释说用户“无需任何操作即可被入侵”，数据只需通过电子邮件共享恶意文档即可被窃取。 这一发现凸显了将强大AI模型连接到外部数据源所带来的日益增长的攻击面，增加了复杂网络攻击的风险。尽管据报道OpenAI在今年早些时候收到通知后迅速采取了缓解措施，并且Google Workspace也加强了自身的AI安全措施，但此次事件凸显了确保AI集成安全的持续挑战。OpenAI曾将连接器作为一项测试功能推出，旨在让ChatGPT能够与Gmail、GitHub和日历等服务进行交互。

Read the English version (阅读英文版)

免责声明：本文内容来自互联网公开信息，请仔细甄别，如有侵权请联系我们删除。