Egy komoly, ráadásul különösen alattomos biztonsági rést azonosítottak a ChatGPT egyik friss funkciójában, amely lehetővé tette, hogy felhasználói beavatkozás nélkül hajtsanak végre kártékony parancsokat. A ZombieAgent névre keresztelt sebezhetőség az OpenAI új "apps" rendszeréhez kötődik, és elméletben akár teljes fiókátvételt is lehetővé tehetett.
A probléma gyökere az volt, hogy a ChatGPT 2025 végén kivezette a Connectors funkciót a bétából, majd apps néven általánosan elérhetővé tette. Ennek lényege, hogy a chatbot külső szolgáltatásokhoz férhet hozzá, például e-mailfiókokhoz, naptárakhoz vagy felhőtárhelyekhez, így jóval pontosabb, kontextusérzékenyebb válaszokat tud adni. A Radware biztonsági kutatói szerint azonban ez a kapu túl szélesre nyílt.
A ZombieAgent egy klasszikus prompt injection támadásra épült, amelynél a felhasználó által nem látható, de a mesterséges intelligencia számára értelmezhető utasítások bújtak meg például egy e-mailben. Ezek a parancsok akár fehér színű szövegként fehér háttéren, vagy nulla betűmérettel voltak elrejtve, így az ember számára láthatatlanok maradtak. Amikor a felhasználó megkérte a ChatGPT-t, hogy foglalja össze vagy értelmezze az adott levelet, a rendszer végrehajthatta ezeket a rejtett utasításokat.
A kutatók szerint a sebezhetőség többféleképpen is kihasználható volt. Előfordulhatott úgynevezett zero click támadás, amikor a kártékony prompt már a szerveroldalon lefutott, még mielőtt a felhasználó egyáltalán megnyitotta volna az üzenetet. Létezett egykattintásos forgatókönyv is, amikor egy feltöltött fájl tartalmazta a rejtett parancsot. Ennél is aggasztóbb volt a tartós változat, amely során a rosszindulatú utasítás bekerülhetett a ChatGPT "memóriájába", így hosszabb távon is aktív maradhatott. A legsúlyosabb esetben pedig a rendszer képes volt továbbterjedni, például újabb e-mailek kiküldésével, kvázi digitális féregként működve.
A Radware beszámolója szerint az OpenAI 2025. december 16-án javította a hibát, ám a vállalat nem részletezte, pontosan milyen technikai megoldással szüntették meg a problémát. Annyi azonban biztos, hogy az eset újra rávilágít arra, mennyire érzékeny terület az AI-rendszerek és a személyes adatok összekapcsolása, különösen akkor, ha a felhasználók levelezéséhez, fájljaihoz vagy naptárához is hozzáférést kap egy chatbot.
A ZombieAgent története intő jel lehet mind a fejlesztők, mind a felhasználók számára: minél több külső szolgáltatással fonódik össze egy mesterséges intelligencia, annál fontosabb, hogy az ilyen láthatatlan, de annál veszélyesebb támadási felületeket időben felismerjék és lezárják.
