FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述：数亿用户面临零点击攻击威胁

Tenable安全研究人员近期在OpenAI的ChatGPT模型中发现了七项关键漏洞，可能导致数亿用户遭受高度复杂的零点击攻击。攻击者可利用这些漏洞窃取敏感用户数据并入侵系统，且无需任何直接用户交互。这一发现对现代大语言模型的安全基础提出了严峻质疑。

安全机制与内存系统的双重突破

最令人担忧的漏洞涉及通过Bing跟踪链接绕过ChatGPT的安全防护机制。研究发现，尽管OpenAI的url_safe端点旨在阻止恶意URL触达用户，但由于Bing.com受信任的域名状态，攻击者能完全规避该防护体系。这使得威胁行为体可通过静态跟踪链接（最终跳转至攻击者控制域）逐字符窃取用户数据。

更危险的是内存注入技术，该技术可实现跨多轮对话的持久化攻击。通过操控ChatGPT的记忆系统，攻击者能植入在后续每次ChatGPT响应时自动执行的指令，形成持续数日泄露私人信息的长期威胁。用户在使用新的聊天会话时，完全无法察觉敏感数据正持续流向攻击者基础设施。

隐藏式攻击与复合攻击链

研究团队还发现一项Markdown渲染漏洞，允许攻击者向用户隐藏恶意内容，而ChatGPT仍在后台处理隐藏指令。这种技术使攻击对信任ChatGPT回应用户几乎完全隐形，彻底破坏了用户对平台透明度的预期。

Tenable研究人员演示了多个结合上述漏洞的复合攻击链：攻击者通过可信网站评论区、已索引网页或直接URL参数注入恶意指令。当用户要求ChatGPT总结这些文章时，会无意间触发指令注入，导致钓鱼攻击或数据窃取。

零点击攻击与对话劫持

零点击攻击向量构成了最严重的威胁。攻击者创建特定主题网站，向仅对SearchGPT爬虫可见的页面注入指令，随后等待搜索引擎索引。当用户搜索相关信息时，ChatGPT会自动调用受污染网站并触发感染。这种前所未有的漏洞支持基于时事或热门话题的定向攻击，所有依赖AI搜索功能的用户均可能在不知情时受影响。

通过对话注入技术，攻击者可将指令植入SearchGPT的响应中，形成连锁式AI交互劫持。研究显示，传统关于AI交互隔离的安全假设在此类链式攻击面前已不再成立。

行业影响与应对迫在眉睫

这些漏洞从根本上改变了使用ChatGPT处理敏感工作的组织与个人面临的威胁格局。建立持久化攻击、隐藏恶意活动、通过常规网络搜索入侵用户的能力，共同构成了前所未有的攻击面。OpenAI的响应速度和修复时间线，将成为决定用户暴露于这些新型攻击技术时长度的关键因素。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）