泽尼蒂实验室(Zenity Labs)最新研究显示,微软、谷歌、OpenAI及其他科技巨头旗下多款应用广泛的人工智能代理与助手,极易在无用户交互场景下被劫持。
在某网络安全大会的演示中,泽尼蒂研究人员展示了黑客如何窃取数据、操控目标机构核心工作流程,部分场景下甚至能冒充用户。
研究人员指出,除渗透AI代理外,攻击者还可实现内存持久化控制,从而维持长期访问与操控权限。
攻击者可以篡改指令、污染知识库,并彻底改变智能体的行为模式。这为蓄意破坏、业务中断以及长期虚假信息传播提供了便利,尤其是在依赖智能体制定或辅助关键决策的环境中。——泽尼蒂实验室产品营销经理格雷格・泽姆林,《网络安全深度报道》
多款主流AI智能体存在漏洞
- OpenAI旗下ChatGPT可通过基于邮件的提示词注入攻击被攻破,进而获取与其绑定的谷歌云端硬盘账号访问权限。
- Microsoft Copilot Studio的客服代理存在泄露完整客户关系管理(CRM)数据库的风险,研究人员还发现,现有超3000款在线智能体存在泄露隐患。
- Salesforce的爱因斯坦平台可被操控,将客户通信信息重定向至研究人员控制的邮箱账号。
- 攻击者可将谷歌Gemini与微软365 Copilot变为内部安全威胁,对用户实施社会工程学攻击并窃取敏感对话内容。
企业回应
泽尼蒂实验室已向相关企业披露研究发现,部分企业随即发布补丁,其余企业应对方案暂不明确。
微软负责人向《网络安全深度报道》表示:我们感谢泽尼蒂团队通过协同披露机制发现并负责任地上报此类攻击手段。经我方调查确认,得益于平台持续的系统性优化与更新,此次报告的相关行为已无法对我们的系统生效。
微软补充称,Copilot设计时已内置安全防护机制与访问控制策略,将持续强化系统防御以应对新兴攻击手段。
OpenAI证实已与研究人员沟通,为ChatGPT修复了补丁,并表示设有漏洞奖励计划接收此类安全问题上报。
Salesforce也表示已修复泽尼蒂报告的相关问题。
谷歌称已部署全新多层防御机制,应对泽尼蒂发现的此类安全问题。
行业反思:AI生态安全防护欠缺
人工智能代理正快速在企业场景普及,各大科技企业鼓励员工应用以提升工作效率。
Aim Labs曾展示Microsoft Copilot存在类似零点击安全风险,其研究人员认为,泽尼蒂的研究结果暴露了快速发展的AI生态系统中安全防护措施十分欠缺。
遗憾的是,包括OpenAI、谷歌、微软等人工智能巨头提供的绝大多数智能体开发框架,均缺乏完善的安全防护护栏,这使得应对此类高风险攻击的责任完全落到了企业身上。——Aim Labs负责人伊泰・拉维亚,《网络安全深度报道》