Celah “Zero-Click” ChatGPT Deep Research yang Bisa Bocorkan Data Gmail Tanpa Interaksi Pengguna

Celah “Zero-Click” ChatGPT Deep Research yang Bisa Bocorkan Data Gmail Tanpa Interaksi Pengguna

Posted by : Admin , Sep 29, 2025
Sebuah kerentanan baru bernama ShadowLeak ditemukan di agen Deep Research milik ChatGPT, memungkinkan penyerang mencuri data pribadi dari akun Gmail pengguna tanpa mereka harus melakukan klik apa pun; bug ini bekerja lewat indirect prompt injection, yakni memasukkan instruksi tersembunyi di dalam email (seperti teks putih di latar putih) yang dibaca oleh agen ketika pengguna memintanya menganalisis inbox. Instruksi jahat ini bisa membuat agen mencari data yang diminta, lalu mengirimkannya ke server yang dikendalikan penyerang, semuanya terjadi di cloud OpenAI—tanpa ada jejak di perangkat pengguna atau peringatan visual. Peneliti dari Radware melaporkan bug ini ke OpenAI, dan perbaikan telah diterapkan pada awal Agustus. Organisasi yang menggunakan fitur seperti Deep Research dianjurkan mengevaluasi izin konektor, membatasi integrasi ke layanan eksternal, serta memonitor aktivitas agen AI dengan ketat untuk deteksi dini.

Sumber : https://cybersecuritynews.com/0-click-chatgpt-agent-vulnerability/