一位安全研究人员演示了,一旦启用谷歌连接器,恶意的谷歌日历邀请如何通过提示注入(prompt-inject)ChatGPT,并诱骗其泄露私人邮件。在9月12日发布于X的一篇帖子中,宫村英人(Eito Miyamura)概述了一个简单的攻击场景:攻击者发送一个预设了指令的日历邀请,然后等待目标用户与ChatGPT交互并让其执行某项操作。ChatGPT随后会读取这个被“动了手脚”的日程事件,并遵循指令搜索Gmail,从而泄露敏感信息。“你需要什么?仅仅是受害者的电子邮件地址,”宫村声称。
八月中旬,OpenAI在ChatGPT中引入了原生的Gmail、谷歌日历和谷歌联系人连接器,最初面向Pro用户,随后扩展到Plus用户。其发布说明称,在获得授权后,助手可以在聊天中自动引用这些来源的数据。这意味着,随口一问“我今天日历上有什么安排?”,就能直接从你的谷歌账户拉取数据,而无需你每次都明确选择数据源。
OpenAI的帮助中心进一步说明,这些谷歌连接器一旦启用,便会默认自动使用;如果你更倾向于手动选择数据源,可以在ChatGPT的设置中关闭此功能。同一页面还解释,使用模型上下文协议(Model Context Protocol, MCP)的自定义连接器是为开发者准备的,且未经OpenAI认证。这一点尤其需要注意,因为宫村是在近期MCP支持和快速发展的工具生态这一背景下描述此次攻击的。
其背后原理是间接提示注入。攻击者的指令被隐藏在允许助手读取的数据中——在这个案例里,就是一个日历事件的文本内容。八月份,研究人员就演示过,一个被篡改的邀请如何引导谷歌的Gemini去控制智能家居设备并泄露信息,这项研究随后被记录在多篇安全报告和一篇题为《Invitation Is All You Need》的论文中。虽然具体技术细节因平台而异,但一旦助手被允许读取被污染的日历内容,其核心风险是相同的。
最终,除非你首先在ChatGPT内部连接了Gmail和日历,否则什么也不会发生。并且,助手的行为仍然取决于OpenAI在获取第三方内容时所采用的政策和提示。文档还指出,你可以断开数据源连接或禁用自动使用功能,这会限制被污染的事件影响常规聊天的机会。
如果你担心,最有效的修复方法在谷歌这边。更改谷歌日历的“自动添加邀请”设置,以便只有来自已知发件人或你接受的邀请才会显示在你的日历上,并考虑隐藏已拒绝的事件。谷歌的支持页面详细介绍了这些选项,Google Workspace管理员可以在整个组织范围内设置更安全的默认值。
此事带来的更广泛启示并非ChatGPT或Gmail被“黑客入侵”,而是使用工具的人工智能异常容易受到潜伏在你允许其读取的数据中的恶意指令的影响。那些让这些助手变得有些用处的连接器,同时也将攻击面扩大到了日历和收件箱。在该行业推出更强有力的、默认开启的防御措施来应对间接提示注入之前,最安全的做法是保守地选择要连接的账户,并且在此特定场景下,锁定你的日历,让陌生人无法“埋雷”。
