ShadowLeak İstismarı, ChatGPT Aracısı Aracılığıyla Gmail Verilerini Açığa Çıkardı
Bulut Güvenlik Çözümleri sağlayıcısı Radware'den bir güvenlik araştırmacıları ekibi, popüler bir yapay zeka aracını kandırarak kullanıcıların özel bilgilerini ifşa etmenin bir yolunu buldu. Baş araştırmacılar Zvika Babo ve Gabi Nakibly'nin de aralarında bulunduğu ekip, internette ve kullanıcı belgelerinde otonom olarak gezinerek raporlar oluşturan OpenAI'nin ChatGPT Derin Araştırma aracında bir kusur keşfetti. Aracın, kullanıcının bilgisi olmadan Gmail hesabından özel verileri sızdıracak şekilde nasıl kandırılabileceğini gösterdiler.
Araştırmacılar, açığı ShadowLeak olarak adlandırarak, " sıfır tıklama " saldırısı (kullanıcının herhangi bir şeye tıklamasına gerek kalmadan tetiklenen bir saldırı) olarak tanımladılar. Bu saldırı, normal görünümlü bir e-postanın içine gizlenmiş ve görünmez komutlar içeriyor. Bir kullanıcı Deep Research aracısına e-postalarını taramasını söylediğinde, araç gizli talimatları okur ve "kullanıcı onayı olmadan ve kullanıcı arayüzünde hiçbir şey görüntülemeden" kullanıcının özel verilerini saldırganın kontrolündeki bir konuma gönderir.
Kullanıcının web tarayıcısına dayanan AgentFlayer ve EchoLeak gibi geçmişteki 0 tıklamalı güvenlik açıklarının aksine, bu yeni yöntem doğrudan OpenAI'nin bulut sunucularının içinden çalışıyor. Araştırmacılar buna servis tarafı sızma adını veriyor ve bu yöntem, tamamen perde arkasında çalıştığı için normal güvenlik yazılımlarıyla tespit edilmesini çok daha zorlaştırıyor. Rapora göre, hiçbir şey görüntülenmediği veya işlenmediği için "kullanıcı tarafından da görülemiyor".
Saldırı, dolaylı istem enjeksiyonu adı verilen bir yöntem kullanıyor. Bu yöntemde, kötü amaçlı komutlar, bir yapay zeka modelinin işlemek üzere tasarlandığı verilerin (örneğin bir e-posta) içine gizleniyor ve kullanıcının bilgisi olmadan çalıştırılıyor. "Yeniden Yapılandırma Paketi - Eylem Öğeleri" başlığını taşıyabilecek kötü amaçlı e-posta, normal bir mesajmış gibi görünüyor.
İçeride, görünmez bir kod, aracıya hassas bilgileri bulması ve bunları sahte bir "kamu çalışanı arama URL'sine" göndermesi talimatını veriyor. E-posta, "tam yetkilendirme" iddiası ve aracının güvenlik kontrollerini atlatmak için sahte bir aciliyet hissi yaratma gibi sosyal mühendislik hileleri kullanıyor.
Ekip, saldırıyı geliştirmek için uzun bir deneme-yanılma süreci geçirdi ve sonunda aracı, kötü amaçlı komutu yürütmek için kendi browser.open() aracını kullanmaya nasıl zorlayacaklarını buldu. Aracıya, çalınan bilgileri bir "güvenlik önlemi" olarak Base64'te kodlamasını söyleyerek, zararsız görünmesini sağladılar ve "%100 başarı oranı" elde ettiler.
Radware'in blog yazısına göre, şirket sorunu Haziran 2025'te OpenAI'ye sorumlu bir şekilde bildirdi. Güvenlik açığı Ağustos ayı başlarında giderildi ve 3 Eylül'de OpenAI tarafından resmi olarak çözüldüğü onaylandı.
Araştırmacılar, kavram kanıtlarında Gmail kullansalar da aynı tekniğin Deep Research aracıyla bağlantı kuran Google Drive, Microsoft Teams ve GitHub gibi diğer servislerde de işe yarayabileceğini ve hassas iş verilerini çalabileceğini belirttiler.
Benzer sorunların önüne geçmek için şirketlere, yapay zeka araçları e-postaları okumadan önce temizlemelerini ve yapay zeka aracısının eylemlerinin kullanıcının orijinal isteğiyle uyumlu olduğundan emin olmak için yaptıklarını sürekli izlemelerini tavsiye ediyorlar.
HackRead
