De reeks aanvallen op AI-assistenten krijgt een nieuw hoofdstuk met ShadowLeak, een aanval die OpenAI’s onderzoekagent Deep Research wist te misleiden. Onderzoekers van Radware ontdekten dat een simpele prompt-injectie voldoende was om vertrouwelijke informatie uit de Gmail-inbox van een gebruiker te halen en deze ongezien naar een server van een aanvaller te sturen zonder interactie van het slachtoffer en zonder zichtbare sporen van datadiefstal.
Deep Research werd dit jaar door OpenAI geïntroduceerd als geautomatiseerd hulpmiddel voor complex internetonderzoek. De agent kan zelfstandig websites bezoeken, op links klikken en bronnen combineren, waaronder e-mails en documenten. Het idee: in minuten werk doen waar een mens uren voor nodig heeft.
ShadowLeak
Juist die autonomie maakt de aanval gevaarlijk. ShadowLeak benut dezelfde sterke punten, e-mailtoegang, toolgebruik en autonome webcalls om gevoelige informatie te exfiltreren. Traditionele beveiligingsmaatregelen schieten tekort, omdat die uitgaan van bewuste gebruikersacties.
De aanval begint met een indirecte prompt-injectie: verborgen instructies in e-mails of documenten van onbetrouwbare afzenders. LLM’s zoals Deep Research zijn geneigd instructies altijd te volgen, waardoor ze taken uitvoeren die nooit door de gebruiker zijn gevraagd.
Expliciete toestemming
Hoewel ChatGPT en vergelijkbare systemen pogingen doen dit soort misbruik te beperken, bijvoorbeeld door expliciete toestemming te vragen voor links of markdown, wisten de onderzoekers dit te omzeilen. Door Deep Research via zijn eigen `browser.open`-tool een specifieke URL te laten openen en parameters met personeelsgegevens toe te voegen, werd de informatie naar het event-log van een externe site gestuurd en daarmee buitgemaakt.
OpenAI heeft de kwetsbaarheid inmiddels gedicht na melding door Radware, maar de bredere uitdaging blijft. Prompt-injecties zijn niet structureel te voorkomen; mitigaties volgen meestal pas nadat een aanval bekend is.
Stille datadiefstal
Voor organisaties betekent dit dat ze strengere voorzorgsmaatregelen moeten nemen: agents minimale toegang geven, autonomie beperken, domein-allowlists hanteren, externe input wantrouwen, gedetailleerde logging inzetten en teams trainen in het herkennen van deze aanvallen.
ShadowLeak toont dat de belofte van AI-agents reëel is, maar dat autonomie zonder grenzen kan omslaan in stille datadiefstal.