В агенте Deep Research ChatGPT нашли критическую уязвимость

Специалисты по кибербезопасности из компании Radware рассказали о критической уязвимости ShadowLeak в агенте глубокого исследования Deep Research в ChatGPT. Она позволяла злоумышленникам незаметно извлекать данные пользователей с серверов OpenAI без какого-либо взаимодействия с ними. 

Атака происходит полностью на стороне сервера и с нулевым кликом. Злоумышленнику достаточно просто отправить специально созданное электронное письмо на адрес жертвы, а агент Deep Research обрабатывает его в фоновом режиме, активирует вредоносный код и инициирует утечку конфиденциальной информации.

При этом ShadowLeak не оставляет следов на устройстве пользователя или в сетевых логах, а обнаружить атаку практически невозможно. Она эксплуатирует логику самого ИИ-агента на облачных серверах OpenAI, обходя стандартные меры защиты. 

Radware утверждает, что это первая атака извлечения данных исключительно на стороне сервера с участием ИИ-агента, действующего независимо в облаке, не затрагивающая пользовательские устройства или традиционные уязвимости веб-приложений. Она не оставляет никаких следов на уровне сети, подтверждающих доступ к данным или их отправку за пределы сервера.

Radware сообщила об уязвимости OpenAI 18 июня, а 3 сентября компания устранила её. 

Предприятиям рекомендуется оценивать риски, связанные с автономным поведением ИИ-агентов, и не полагаться исключительно на встроенные в платформы механизмы защиты.

Весной 2025 года разработчик представил Open Deep Researcher — реализацию функции глубокого поиска от OpenaAI с открытым исходным кодом. Система ищет информацию по запросу пользователя до тех пор, пока не посчитает, что нашла всё необходимое. По умолчанию она использует языковую модель Claude 3.5 Haiku.