Radware揭露ZombieAgent人工智能缺陷，允許OpenAI用户的隱形數據被盜

Radware®（NASDAQ：RDWR）是多雲環境應用安全和交付解決方案的全球領導者，今天宣佈發現ZombieAgent，這是一種針對OpenAI Deep Research代理的新零點擊間接提示注入（IPI）漏洞。該漏洞可能會使企業面臨無形的數據竊取，持久的代理劫持和服務端執行，這些都可能繞過組織的安全控制。

持久內存操作和自主傳播

ZombieAgent最初類似於Radware之前披露的ShadowLeak漏洞，該漏洞展示瞭如何使用間接提示注入技術來影響人工智能代理的行為。然而，Radware的研究人員還發現了一個更高級的攻擊階段，其中ZombieAgent將惡意規則直接植入到代理的長期記憶或工作筆記中。這使得攻擊者能夠在不重新接觸目標的情況下建立持久性。每次使用代理時，它都會執行隱藏操作，隨着時間的推移悄悄收集敏感信息。它還能夠在其他聯繫人或電子郵件收件人之間傳播攻擊。

因此，一封惡意電子郵件可能成為組織內外不斷增長的、自動化的、蠕蟲式活動的切入點。

Radware威脅情報副總裁Pascal Geenens表示：「ZombieAgent說明了當今人工智能平臺中的一個關鍵結構性弱點。」「企業依賴這些代理來做出決策和訪問敏感系統，但他們缺乏對代理如何解釋不受信任的內容或他們在雲中執行哪些操作的可見性。這造成了攻擊者已經在利用的危險盲點。"

通過隱藏指令進行零點擊剝削

利用從ShadowLeak學到的技術，Radware的威脅情報研究團隊發現了為防止即時注入漏洞而部署的護欄中的新缺陷。攻擊者可以將隱藏指令嵌入日常電子郵件、文檔或網頁中。當AI代理處理此內容時（例如在例行收件箱摘要期間），代理將隱藏的指令解釋為合法命令。激活后，受影響的代理可以收集郵箱數據、訪問敏感文件並與外部服務器通信。不需要用户交互，也不需要「點擊」即可觸發攻擊。

ZombieAgent的一個定義特徵是，所有惡意行為都發生在OpenAI的雲基礎設施中，而不是用户的設備，也不是公司的IT環境中。因此，沒有端點日誌記錄該活動。沒有網絡流量通過企業安全堆棧。沒有傳統的安全工具（例如安全Web網關、端點檢測和響應或防火牆）可以檢測敏感數據泄露。因此，傳統警報不會向用户表明存在損害。這種雲端不可見性可能會使ZombieAgent異常難以檢測或停止使用現有的企業控件。

ZombieAgent建立在Radware早期「ShadowLeak」發現的基礎上，進一步展示了攻擊者如何輕松利用迅速擴大的「代理威脅表面」，人工智能代理在其中讀取電子郵件、與企業系統交互、啟動工作流程並自主做出決策。Radware根據負責任的披露協議向OpenAI披露了該漏洞。

欲瞭解更多信息，請查看Radware最新的威脅諮詢和博客文章「ZombieAgent：激進革命伴隨着惡意禮物。"