Gli esperti di Radware hanno descritto nuovo attacco di prompt injection indiretto contro ChatGPT (simile a quello scoperto da un ricercatore giapponese) che permette di accedere a Gmail senza interazione dell’utente. ShadowLeak sfrutta la capacità agentica dell’assistente AI denominata Deep Research. OpenAI ha già corretto la vulnerabilità.
Descrizione dell’attacco ShadowLeak
Deep Research può creare un report dettagliato su un argomento specifico, combinando le informazioni da diverse fonti (può impiegare fino a 30 minuti). Per ottenere risposte più pertinenti può leggere i contenuti personali attraverso l’accesso a Gmail e altre app di terze parti. È accessibile a tutti gli utenti consumer e aziendali.
L’attacco di prompt injection indiretto prevede l’invio di una email che contiene istruzioni nascoste (carattere con dimensione invisibile o di colore bianco su sfondo banco) nel codice HTML. Quando l’ignara vittima chiede a ChatGPT di analizzare le email presenti in Gmail, Deep Research legge l’email “trappola” ed esegue il prompt nascosto.
Nell’esempio mostrato da Radware, l’assistente AI cerca le informazioni personali del dipendente aziendale (nome, indirizzo di residenza e altre) e le invia all’URL indicato nelle istruzioni, senza nessuna interazione dell’utente (zero-click). In alcuni casi, ChatGPT non ha eseguito il prompt. Dopo vari tentativi, i ricercatori hanno trovato il modo di aggirare le protezioni, ottenendo un successo del 100%.
A differenza di altri simili attacchi, ShadowLeak non passa URL e dati privati al client per effettuare la richiesta web. Quest’ultima viene effettuata direttamente dall’agente AI sull’infrastruttura cloud di OpenAI. Nella dimostrazione è stata usata Gmail, ma l’attacco funziona con altri servizi che possono essere collegati a Deep Research, tra cui Google Drive, Box, Outlook. Teams e GitHub.
Ti potrebbe interessare
21 set 2025