ChatGPT的安全防护正面临严峻挑战。近日,网络安全研究机构Tenable揭露了OpenAI ChatGPT中存在的七个关键漏洞。这些漏洞允许攻击者通过复杂的提示注入(Prompt Injection)攻击,窃取用户的私人信息。这意味着,全球数亿ChatGPT日常用户可能在毫不知情的情况下,面临个人数据被盗的风险。
零点击攻击:ChatGPT用户面临的隐形威胁
本次发现的漏洞影响广泛,不仅波及现有模型GPT-4o,也包括最新发布的GPT-5。恶意行为者能够利用间接的提示注入技术,在无需用户进行任何额外操作的情况下,仅仅通过向ChatGPT提出一个简单问题,就能窃取用户的聊天记录、个人记忆以及其他敏感数据。
据Tenable研究员Moshe Bernstein和Liv Matan周一发布的研究报告指出,“这些存在于最新GPT-5模型中的漏洞,可能导致攻击者在用户毫不知情的情况下,通过多种常见的受害场景进行攻击,其中甚至包括用户仅仅向ChatGPT提出一个问题。”
其中,最危险的攻击方式便是“零点击”漏洞。攻击者会创建恶意网站,并设法让这些网站被Bing或OpenAI自家的SearchGPT爬虫等搜索引擎收录。当用户提出看似无害的问题,触发ChatGPT进行搜索时,ChatGPT会在不经意间从这些已被攻陷的网站中检索并执行隐藏的恶意指令,从而完成数据窃取。
记忆投毒:实现持续性数据窃取
Tenable的研究还揭示,攻击者能够利用ChatGPT的记忆功能,实现持续性的数据窃取,这种攻击甚至可以跨越多个对话和会话。通过一种被称为“记忆注入”的技术,恶意提示可以指示ChatGPT记住错误信息,或在未来的互动中不断泄露用户的私人数据。
此外,其他攻击途径还包括:将恶意指令隐藏在博客文章的评论区中,当用户要求ChatGPT总结文章时,这些指令就会被执行;以及利用“一键式”漏洞,通过构造特定格式的URL,如“chatgpt.com/?q={Prompt}”,自动执行恶意查询。
研究人员还发现了一种绕过安全机制的方法,即利用ChatGPT的受信任域名白名单。攻击者可以巧妙地使用Bing的跟踪链接来伪装恶意URL,从而绕过OpenAI的url_safe保护系统,进一步增加了攻击的隐蔽性。
OpenAI采取部分修复措施,但挑战犹存
Tenable报告指出,OpenAI已通过发布技术研究公告(TRA-2025-22、TRA-2025-11和TRA-2025-06)回应并修复了部分已报告的漏洞。然而,研究人员证实,针对GPT-5的几种概念验证(Proof-of-Concept)攻击仍然有效,这凸显了大型语言模型(LLMs)中提示注入问题的持续性挑战。
Tenable的研究人员警告称:“提示注入是大型语言模型工作方式中一个已知的问题,不幸的是,在可预见的未来,这个问题可能无法得到系统性的彻底解决。”这些发现公布之际,OpenAI正因GPT-5的安全状况面临持续审查,此前已有独立研究表明,该模型在企业测试中安全评分表现不佳。
这些漏洞也进一步凸显了人工智能代理(AI agent)更广泛的安全隐患。随着企业将ChatGPT及类似工具日益整合到日常业务流程中,敏感的企业数据可能面临相似的攻击风险,引发了对未来AI应用安全的深层担忧。
