ثغرة ShadowLeak بدون نقر تكشف بيانات Gmail عبر وكيل البحث العميق من OpenAI
20 سبتمبر 2025رافي لاكشمانان الذكاء الاصطناعي / أمان السحابة
كشف باحثو الأمن السيبراني عن ثغرة بدون نقر في وكيل البحث العميق من OpenAI ChatGPT، والتي قد تسمح للمهاجم بتسريب بيانات صندوق البريد الإلكتروني الحساس من Gmail من خلال بريد إلكتروني مصمم بعناية دون أي إجراء من المستخدم.
تم تسمية هذا النوع الجديد من الهجمات بـ ShadowLeak من قبل Radware. بعد الكشف المسؤول في 18 يونيو 2025، تم معالجة المشكلة من قبل OpenAI في أوائل أغسطس.
“تستخدم الهجمة حقن موجه غير مباشر يمكن إخفاؤه في HTML البريد الإلكتروني (خطوط صغيرة، نص أبيض على أبيض، حيل تخطيط) بحيث لا يلاحظ المستخدم الأوامر، لكن الوكيل لا يزال يقرأها ويطيعها،” قال باحثو الأمن زفيكا بابو، غابي ناكيبلي، وماور أوزيل.
“على عكس الأبحاث السابقة التي اعتمدت على عرض الصور على جانب العميل لتحفيز التسريب، فإن هذه الهجمة تسرب البيانات مباشرة من بنية OpenAI السحابية، مما يجعلها غير مرئية للدفاعات المحلية أو المؤسسية.”
تم إطلاق البحث العميق من قبل OpenAI في فبراير 2025، وهو قدرة وكيلية مدمجة في ChatGPT تقوم بإجراء أبحاث متعددة الخطوات على الإنترنت لإنتاج تقارير مفصلة. تم إضافة ميزات تحليل مماثلة إلى روبوتات الدردشة الذكية الأخرى مثل Google Gemini وPerplexity على مدار العام الماضي.
في الهجمة التي تفصيلها Radware، يرسل المهاجم بريدًا إلكترونيًا يبدو غير ضار إلى الضحية، يحتوي على تعليمات غير مرئية باستخدام نص أبيض على أبيض أو حيل CSS تخبر الوكيل بجمع معلوماتهم الشخصية من الرسائل الأخرى الموجودة في صندوق البريد الإلكتروني وتسريبها إلى خادم خارجي.
لذا، عندما يطلب الضحية من ChatGPT Deep Research تحليل رسائلهم الإلكترونية في Gmail، يقوم الوكيل بتحليل حقن الموجه غير المباشر في البريد الإلكتروني الضار وينقل التفاصيل بتنسيق Base64 إلى المهاجم باستخدام الأداة browser.open().
“قمنا بصياغة موجه جديد يوجه الوكيل بوضوح لاستخدام الأداة browser.open() مع عنوان URL الضار،” قالت Radware. “استراتيجيتنا النهائية والناجحة كانت توجيه الوكيل لترميز المعلومات الشخصية المستخرجة إلى Base64 قبل إضافتها إلى عنوان URL. لقد صغنا هذا الإجراء كإجراء أمني ضروري لحماية البيانات أثناء النقل.”
تعتمد إثبات المفهوم (PoC) على تمكين المستخدمين لتكامل Gmail، ولكن يمكن توسيع الهجمة لتشمل أي موصل يدعمه ChatGPT، بما في ذلك Box وDropbox وGitHub وGoogle Drive وHubSpot وMicrosoft Outlook وNotion أو SharePoint، مما يوسع بشكل فعال سطح الهجوم.
على عكس الهجمات مثل AgentFlayer وEchoLeak، التي تحدث على جانب العميل، يحدث التسريب الذي تم ملاحظته في حالة ShadowLeak مباشرة داخل بيئة OpenAI السحابية، مع تجاوز الضوابط الأمنية التقليدية. هذه الحالة من عدم الرؤية هي الجانب الرئيسي الذي يميزها عن الثغرات الأخرى المشابهة في حقن الموجه غير المباشر.
تحفيز ChatGPT لحل CAPTCHAs
يأتي الكشف في الوقت الذي أظهرت فيه منصة أمان الذكاء الاصطناعي SPLX أن العبارات المدروسة بعناية، بالإضافة إلى تسميم السياق، يمكن استخدامها لتجاوز الحواجز المدمجة في وكيل ChatGPT وحل CAPTCHAs المعتمدة على الصور المصممة لإثبات أن المستخدم إنسان.
تتضمن الهجمة بشكل أساسي فتح محادثة عادية مع ChatGPT-4o وإقناع نموذج اللغة الكبير (LLM) بوضع خطة لحل ما تم وصفه له كقائمة من CAPTCHAs المزيفة. في الخطوة التالية، يتم فتح محادثة جديدة مع وكيل ChatGPT ويتم لصق المحادثة السابقة مع LLM، مع الإشارة إلى أن هذه كانت “مناقشتنا السابقة” – مما يتسبب في حل النموذج لـ CAPTCHAs دون أي مقاومة.
“كانت الحيلة هي إعادة صياغة CAPTCHA كـ “مزيف” وإنشاء محادثة حيث وافق الوكيل بالفعل على المتابعة. من خلال وراثة هذا السياق، لم يرَ العلامات الحمراء المعتادة،” قال باحث الأمن دوريان شولتز.
“حل الوكيل ليس فقط CAPTCHAs البسيطة ولكن أيضًا تلك المعتمدة على الصور – حتى ضبط مؤشره لتقليد سلوك الإنسان. يمكن للمهاجمين إعادة صياغة الضوابط الحقيقية كـ ‘مزيفة’ لتجاوزها، مما يبرز الحاجة إلى نزاهة السياق، ونظافة الذاكرة، والتقييم المستمر.”
