在最近的安全研究中,研究人員揭示一種新的攻擊方式,利用受損的 Google 日曆邀請來劫持 ChatGPT 的 Gmail 連接器,並洩露私人電子郵件。這一發現由資安研究員 Eito Miyamura 提出,她在 12 日於社群媒體上詳細說明這個過程。
根據 Miyamura 的說法,攻擊者可以發送一個包含惡意指令的日曆邀請,當受害者與 ChatGPT 互動並請求其執行某個操作時,ChatGPT 會讀取這個被設計的事件,並根據指令搜尋 Gmail 中的敏感資訊。Miyamura 指出,進行這一攻擊所需的唯一條件是受害者的電子郵件地址。
We got ChatGPT to leak your private email data ??
All you need? The victim’s email address. ⛓️???
On Wednesday, @OpenAI added full support for MCP (Model Context Protocol) tools in ChatGPT. Allowing ChatGPT to connect and read your Gmail, Calendar, Sharepoint, Notion,… pic.twitter.com/E5VuhZp2u2
— Eito Miyamura | ???? (@Eito_Miyamura) September 12, 2025
OpenAI 在 2023 年 8 月中旬推出了 ChatGPT 的原生 Gmail、Google 日曆和 Google 聯絡人連接器,最初僅對 Pro 用戶開放,隨後擴展到 Plus 用戶。這些連接器允許 ChatGPT 在獲得授權後自動引用這些來源的數據,這意味著用戶可以輕鬆查詢日曆而無需每次都選擇來源。
Miyamura 強調,這一攻擊利用了最近對模型上下文協議(MCP)的支持,這是一種允許大型語言模型與外部工具(如 Gmail、日曆)互動的協議,進而擴展了模型的能力與風險。這種間接的提示注入攻擊方式,讓攻擊者的指令隱藏在助理被允許閱讀的數據中,進而造成潛在的安全風險。
儘管如此,這一攻擊的前提是用戶必須首先在 ChatGPT 中連接 Gmail 和日曆,助理的行為仍然取決於 OpenAI 在處理第三方內容時所應用的政策和提示。用戶可以選擇斷開來源或禁用自動使用,這樣可以減少受損事件影響日常聊天的機會。
為了提高安全性,建議用戶在 Google 日曆中更改「自動添加邀請」的設置,僅允許來自已知發件人或接受的邀請出現在日曆上,並考慮隱藏已拒絕的事件。Google 的支援頁面提供了詳細的操作指南,Google Workspace 管理員也可以設置更安全的默認選項。
這個事件提醒我們,雖然 ChatGPT 或 Gmail 並未被駭客攻擊,但使用工具的 AI 對於潛藏在用戶允許其閱讀的數據中的惡意指令特別敏感。這些連接器雖然使助理更有用,但也擴大了攻擊面,直到行業推出更強大的防禦措施,最安全的做法是謹慎選擇連接的帳號,並在此情況下加強日曆的安全性,以防止陌生人植入惡意內容。
- Compromised Google Calendar invites can hijack ChatGPT’s Gmail connector and leak emails
- ChatGPT could leak private email data, Vitalik Buterin offers solutions
- Ethereum’s Vitalik Buterin Reacts as ChatGPT Exploit Leaks Private Emails
- Ethereum Co-Founder Vitalik Buterin Responds to Security Concerns Over OpenAI’s ChatGPT
- AI Governance is a Red Flag: Vitalik Buterin Offers an Alternative
- Vitalik Buterin Reacts to Crucial ChatGPT Security Warning
(首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
