ZombieAgent è una vulnerabilità di ChatGPT che può essere sfruttata per eseguire attacchi di prompt injection e rubare dati sensibili degli utenti.
Sicurezza Business AI
I ricercatori di Radware hanno scoperto una nuova vulnerabilità di ChatGPT che permette il furto di dati personali. ZombieAgent è simile a ShadowLeak, quindi si tratta di un attacco di prompt injection indiretto che sfrutta i connettori, ovvero la funzionalità che permette di collegare servizi esterni al chatbot. OpenAI ha rilasciato il fix, ma è solo temporaneo.

Descrizione di ZombieAgent

Nel caso di ShadowLeak, la vulnerabilità era presente nella funzionalità Deep Research di ChatGPT. ZombieAgent è simile, in quanto consente di esfiltrare dati dalle app collegate (Gmail, Outlook, Google Drive, GitHub e altre), oltre che dalla cronologia delle conversazioni e dalla memoria del chatbot (usata per fornire risposte più personali e pertinenti).

Gli esperti di Radware hanno descritto quattro tipi di attacco. Il primo è zero-click, quindi non è necessaria l’interazione dell’utente. Inizia con l’invio di un’email tramite Gmail all’interno della quale sono nascoste le istruzioni che eseguirà ChatGPT. Quando l’utente chiede di leggere il contenuto, i dati sono inviati al server controllato dai cybercriminali.

Il secondo attacco è one-click. In questo caso, le istruzioni sono nascoste in un file. Quando l’utente chiede di generare un riassunto, i dati sono inviati al server remoto. Con un terzo attacco viene invece stabilita la persistenza. Le istruzioni presenti nel file vengono conservate nella memoria di ChatGPT e quindi eseguite per ogni richiesta dell’utente.

Il quarto attacco è simile al primo, ma l’obiettivo è la propagazione. Le istruzioni nascoste nell’email permettono di ottenere gli indirizzi email e quindi di effettuare lo stesso attacco contro altri utenti. Questo tipo di vulnerabilità può essere sfruttata per ogni servizio collegato a ChatGPT.

OpenAI ha mitigato l’attacco ZombieAgent impedendo a ChatGPT di aprire qualsiasi link proveniente da un’email, a meno che non sia stato fornito direttamente dall’utente. Ciò permette però di bloccare uno specifico attacco. Al momento non esiste nessuna soluzione definitiva per il prompt injection.

Fonte: Ars Technica

Pubblicato il 9 gen 2026

