- OpenAIの新しい「アプリ」機能により、ChatGPTがメールやストレージなど外部サービスと接続可能に
- Radwareが「ZombieAgent」を発見。隠しコマンドでデータを流出させたり拡散させたりできるプロンプトインジェクションの欠陥
- 悪用にはゼロクリック、ワンクリック、永続化、ワームのような拡散が含まれる。OpenAIは12月16日に修正
OpenAIは最近、ChatGPT向けの新機能を導入しましたが、残念ながらそれはユーザーをデータ流出や永続的なアクセスのリスクにもさらします。
2025年12月、「Connectors」と呼ばれる機能がついにベータ版を脱し、一般提供となりました。この機能により、ChatGPTはカレンダー、クラウドストレージ、メールアカウントなど多数のアプリに接続でき、より多くの文脈を得ることで、ユーザーに対してより良く、より関連性の高い回答を提供できるようになります。
この機能は現在「apps(アプリ)」と呼ばれていますが、セキュリティ研究者のRadwareによれば、同時に重大な脆弱性――プロンプトインジェクション攻撃――への入口にもなっているとのことです。
4つの悪用手法
Radwareはこの脆弱性を「ZombieAgent」と名付けました。実際のところ、Geminiや他の生成AIツールで見られてきた脆弱性と大きく異なるものではありません。
たとえばChatGPTをGmailに接続すると、ツールは受信メールを読み取り、会話、予定されている通話や会議、保留中の招待などについて、文脈に沿った回答を返せるようになります。
しかし、受信メールには隠された悪意あるプロンプトが含まれている可能性があります。白い背景に白い文字で書かれていたり、フォントサイズを0にしていたりするものです。人間の目には見えませんが、機械には読み取れてしまいます。
被害者がChatGPTにそのメールを読ませるよう依頼すると、ツールはユーザーの同意や操作なしに、そうした隠しコマンドを実行してしまう可能性があります。コマンドは、機密データを第三者のサーバーへ流出させることから、受信箱を使ってさらに拡散させることまで、ほぼ何でもあり得ます。
Radwareは、ZombieAgentが悪用され得る4つの方法を特定しました。ゼロクリックのサーバーサイド攻撃(悪意あるプロンプトがメール内にあり、ユーザーが内容を見る前にChatGPTがデータを流出させる)、ワンクリックのサーバーサイド攻撃(プロンプトがファイル内にあり、ユーザーがまずアップロードする必要がある)、永続化(悪意あるコマンドをChatGPTのメモリに保存させるよう設計されたもの)、そして拡散(ワームのように、悪意あるプロンプトを使ってさらに広げる)です。
Radwareによれば、OpenAIは12月16日にこの問題を修正したものの、その方法の詳細は明らかにしていないとのことです。
