Исследователи компании Radware 8 января 2026 года обнаружили и обнародовали новую уязвимость под названием ZombieAgent в ChatGPT от OpenAI. Атака позволяет злоумышленникам незаметно извлекать приватные данные пользователей напрямую с серверов ИИ-ассистента.
ZombieAgent является развитием ранее известной уязвимости ShadowLeak, исправленной OpenAI. Новая атака использует обходные методы, такие посимвольное извлечение данных и манипуляцию ссылками, чтобы обойти установленные защитные механизмы. Кроме того, эксплойт может внедрять вредоносные инструкции в долговременную память ChatGPT, присвоенную конкретному пользователю, что обеспечивает устойчивость атаки.
Коренная проблема, лежащая в основе таких атак, — это уязвимость косвенного внедрения промптов (indirect prompt injection). ИИ-модель не может отличить легитимные инструкции пользователя от команд, встроенных в сторонние документы, например, в письма для обработки. Это фундаментальный недостаток архитектуры современных LLM, который разработчики пока не могут надежно устранить, вынужденно блокируя лишь конкретные техники взлома.
Ситуация демонстрирует порочный цикл в безопасности ИИ: исследователи находят уязвимость, разработчик выпускает заплатку, а злоумышленники находят новый обходной путь. Без решения базовой проблемы разграничения источников инструкций подобные атаки будут повторяться.
