用隐形文本窃取数据：ChatGPT 和其他人工智能工具是如何轻易上当的？

在拉斯维加斯举行的 2025 年美国黑帽安全大会上，研究人员公布了一种欺骗 ChatGPT、微软 Copilot 和谷歌 Gemini 等人工智能系统的新方法。这项名为 AgentFlayer 的技术由 Zenity 研究人员 Michael Bargury 和 Tamir Ishay Sharbat 开发。https://www.prnewswire.com/news-releases/zenity-labs-exposes-widespread-agentflayer-vulnerabilities-allowing-silent-hijacking-of-major-enterprise-ai-agents-circumventing-human-oversight-302523580.html8月6日发布了一份概述研究结果的新闻稿。

这种攻击背后的概念非常简单：在文档中使用白底白字隐藏文本。人眼无法察觉，但人工智能系统却能轻松读取。一旦图像传送给目标，陷阱就设好了。如果提示中包含该文件，人工智能就会放弃原来的任务，转而执行隐藏的指令--搜索连接的云存储设备以获取访问凭证。

为了让数据外流，研究人员采用了第二种策略：他们指示人工智能将窃取的信息编码成一个 URL，并从中加载一张图片。这种方法可以谨慎地将数据传输到攻击者的服务器上，而不会引起怀疑。

Zenity 演示了这种攻击的实际效果：

• 在 ChatGPT 中，电子邮件被篡改，这样人工智能代理就能访问 Google Drive。
• 在微软的 Copilot Studio 中，研究人员发现了 3000 多个未受保护的 CRM 数据实例。
• Salesforce Einstein 可能被欺骗，将客户通信重定向到外部地址。
• Google Gemini 和 Microsoft 365 Copilot 也容易受到虚假电子邮件和日历条目的影响。
• 攻击者甚至可以通过伪造的票据获得 Jira 开发人员平台的登录凭证。

OpenAI 和微软做出回应，其他公司则认为没有必要采取行动

好消息是，OpenAI 和微软在接到研究人员的警告后，已经发布了修补漏洞的更新。然而，其他供应商的行动却比较迟缓，有些甚至将漏洞利用视为 "有意为之"。研究人员 Michael Bargury 强调了这一问题的严重性，他说："用户不需要做任何事情就会被入侵，也不需要任何操作就会泄露数据。