Компания Radware сообщила о критической уязвимости в агенте Deep Research от OpenAI, которая позволяет хакерам незаметно извлекать данные из почтового ящика Gmail пользователя без его участия. Угроза получила название ShadowLeak и основана на механизмах скрытого внедрения команд, которые обрабатываются на стороне облачных сервисов OpenAI.
Режим Deep Research был представлен в феврале 2025 года как автономный инструмент анализа, способный собирать, структурировать и синтезировать информацию из множества источников по запросу пользователя. В момент подключения к Gmail и при активном поиске в интернете агент может стать каналом для утечки конфиденциальной информации, даже если пользователь не подозревает о наличии вредоносных элементов.
Radware поясняет, что атака строится вокруг одного специально оформленного письма, не требующего от получателя никаких действий.
Внутри HTML-кода такого письма размещаются команды для агента, маскированные под визуально невидимые элементы — например, с использованием белого текста на белом фоне или миниатюрных шрифтов. Когда пользователь запускает Deep Research и разрешает ему доступ к почте, агент начинает выполнять запросы, скрытые в этом письме.
Главная особенность ShadowLeak заключается в том, что утечка происходит в облаке, а не на клиентском устройстве. Другие известные уязвимости, например AgentFlayer и EchoLeak, эксплуатировали визуальный интерфейс агента.
ShadowLeak, напротив, задействует внутреннюю серверную обработку, делая атаки недоступными для обнаружения локальными средствами мониторинга или корпоративной защитой.
В ходе успешной атаки агент извлекает имя и адрес пользователя из почтового ящика, затем подставляет эти данные в URL, имитирующий доступ к публичным реестрам, а фактически направляющий запрос на сервер злоумышленника. При этом используются вызовы функций типа browser.open(), повторные итерации выполнения задач и кодирование данных в Base64 — все это происходит без участия пользователя и без визуального отображения на экране.
Исследователям Radware удалось добиться полной успешности атаки после ряда сложных итераций. Им потребовалось адаптировать структуру письма, сформулировать команды таким образом, чтобы они не воспринимались как вредоносные, и подобрать точную последовательность действий для активации эксфильтрации данных.
По оценке специалистов, ShadowLeak представляет собой один из наиболее опасных примеров уязвимостей в системах искусственного интеллекта нового поколения. Использование методов Zero-Click и обход пользовательского интерфейса значительно расширяет поверхность атак и делает защиту значительно более сложной задачей.