Radwareによると、ChatGPT Deep Researchエージェントの脆弱性により、攻撃者が細工した1通のメールだけでエージェントにGmail受信箱の機密データを漏洩させることが可能になります。
Deep Researchは、OpenAIが2025年2月にリリースした自律型リサーチモードです。
「プロンプトを入力すると、ChatGPTが数百のオンラインソースを調査・分析・統合し、リサーチアナリストレベルの包括的なレポートを作成します」と同社はこのモードについて説明しています。
9月18日、Radwareの3人の研究者が、OpenAIのDeep Research機能がGmailと接続され、ユーザーがウェブから情報源をリクエストした際に発生する新たなゼロクリック脆弱性の発見を共有しました。
研究者らによって「ShadowLeak」と名付けられたこの脆弱性は、サービスサイドでの情報流出を可能にします。つまり、攻撃が成功するとOpenAIのクラウドインフラから直接データが漏洩し、ローカルや企業の防御では検知できません。
この攻撃は、白地に白文字や極小フォントなどの手法を用いてメールHTML内に隠しコマンドを埋め込む間接的なプロンプトインジェクション技術を利用しており、ユーザーが気付かないうちにDeep Researchエージェントがそれらを実行します。
従来のクライアントサイドの情報流出攻撃(AgentFlayerやEchoLeakなど)は、エージェントが攻撃者制御のコンテンツをユーザーインターフェース上でレンダリングすることに依存していましたが、このサービスサイドの漏洩はOpenAIのクラウド内だけで完結します。
エージェントの自律型ブラウジングツールがクライアントの関与なしに情報流出を実行するため、フロントエンドのレンダリングではなくバックエンドの実行を悪用することで脅威範囲が拡大します。
ShadowLeakの攻撃チェーン
以下は、攻撃者が被害者から個人識別情報(PII)を収集しようとする、ShadowLeak攻撃チェーンの流れです:
- 攻撃者は、被害者の受信箱からフルネームと住所を探し、それらの値をパラメータとして「公務員検索用URL」を開くようにエージェントへ指示する隠し命令を含む、一見無害なメールを被害者に送信します(実際のURLは攻撃者が管理するサーバーを指します)。
- 被害者はDeep Researchエージェントにメールへアクセスし情報処理やタスク実行を依頼しますが、その中の1通にエージェントが検知・実行する隠し命令が含まれていることには気付きません。
- Deep Researchエージェントは攻撃者のメールを処理し、攻撃者ドメインへのアクセスを開始、指示通りPIIをURLに挿入します。これらはすべてユーザーの確認なし、かつユーザーインターフェース上には何も表示されません。
Radwareの研究者によると、Deep ResearchエージェントにPIIを悪意あるURLへ挿入させるメールを作成するには、多くの試行錯誤と反復が必要だったとのことです。
例えば、リクエストを正規のユーザーリクエストのように偽装したり、Deep Researchにbrowser.open()など特定のツールを使わせて直接HTTPリクエストを送信させたり、「数回再試行するように」指示したり、抽出したPIIをBase64でエンコードしてURLに付加させるよう命令する必要がありました。
これらの手法をすべて駆使した結果、研究者らはShadowLeak手法によるGmailデータの情報流出に100%の成功率を達成しました。
サービスサイドAIエージェント脅威への対策
Radwareによれば、エージェントによる処理前にメールをサニタイズし、隠しCSSや難読化テキスト、悪意あるHTMLを除去することでリスクを部分的に軽減できます。しかし、この対策はエージェント自体を操作する攻撃に対しては限定的な防御しか提供しません。
より強力な防御策はリアルタイムの挙動監視であり、エージェントの行動や推定される意図をユーザーの元々のリクエストと継続的に照合します。たとえば、許可されていないデータ流出などの逸脱があれば、実行前に検知・ブロックできます。
Radwareの研究者は2025年6月、Bugcrowdプラットフォームを通じてOpenAIに今回の発見を報告しました。
8月には、RadwareはOpenAIがこの脆弱性を密かに修正したと指摘。9月初旬、OpenAIは脆弱性を認め、解決済みとしました。
翻訳元: https://www.infosecurity-magazine.com/news/vulnerability-chatgpt-agent-gmail/