Кібербезпекові дослідники виявили вразливість ShadowLeak у Deep Research агента ChatGPT від OpenAI, яка дозволяє атакуючим витікати чутливі дані Gmail без будь-яких дій користувача за допомогою одного сфабрикованого листа. Вразливість, виявлена Radware, була виправлена OpenAI на початку серпня 2025 року після відповідального розкриття 18 червня 2025 року.

Атака використовує непряму ін’єкцію команд, прихованих у HTML-листі (дрібний шрифт, білий текст на білому тлі, хитрощі макета), які користувач не помічає, але агент їх виконує. На відміну від попередніх досліджень, що залежали від рендерингу зображень на стороні клієнта, ця атака витікає дані безпосередньо з хмарної інфраструктури OpenAI, що робить її невидимою для локальних чи корпоративних захистів.

Deep Research, запущений OpenAI у лютому 2025 року, проводить багатоступеневі дослідження в інтернеті для створення детальних звітів. Атака передбачає надсилання зловмисником листа з невидимими інструкціями, які змушують агента збирати особисту інформацію з інших повідомлень у поштовій скриньці та передавати її на зовнішній сервер у форматі Base64 через browser.open().

Дослідники зазначили: “Ми створили нову команду, яка явно інструктувала агента використовувати browser.open() із зловмисним URL, кодуючи витягнуті персональні дані в Base64 для захисту під час передачі”. Атака поширюється на будь-які інтеграції ChatGPT, як-от Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion чи SharePoint, розширюючи площу атаки.

На відміну від атак AgentFlayer та EchoLeak, які відбуваються на стороні клієнта, ShadowLeak відбувається в хмарі OpenAI, обходячи традиційні засоби захисту. Окремо, платформа SPLX показала, як ChatGPT може вирішувати CAPTCHA, використовуючи хитрі запити та контекстне отруєння, обходячи вбудовані обмеження.