ChatGPT se ponovno našao u središtu sigurnosne priče koju industrija već dobro poznaje.
Istraživači iz sigurnosne tvrtke Radware demonstrirali su novi napad na OpenAI-jevog asistenta koji tiho izvlači privatne podatke korisnika i svoju logiku skriva u dugoročnoj memoriji modela. Nadogradnju starijeg napada ShadowLeak nazvali su ZombieAgent.
Kako piše Dan Goodin za Ars Technicu, slučaj pokazuje začarani krug: otkrije se ranjivost, uvede se zaštita, pa je napadači zaobiđu malom modifikacijom. Temeljni problem – prompt injection – ostaje na mjestu.
Od ShadowLeak-a do ZombieAgent-a
Radware je ShadowLeak objavio u rujnu 2025. Cilj je bio Deep Research, agent integriran u ChatGPT.
ShadowLeak je radio ovako:
- Napadač u e-mail ili dokument ubaci skrivena uputstva.
- Vi zamolite agenta da „sažme ovaj mail“.
- Model ta skrivena uputstva tretira kao legitiman prompt.
- Injekcija kaže Deep Researchu da sastavi URL s imenom i adresom zaposlenika kao parametrima i da ga otvori.
- Kad agent otvori URL, osjetljivi podaci završavaju u logovima poslužitelja pod kontrolom napadača.
OpenAI je reagirao relativno grubo, ali učinkovito: ChatGPT više ne smije konstruirati nove URL-ove. Može otvoriti samo one koje je dobio točno u zadanom obliku – bez dodavanja parametara i spajanja korisničkih podataka.
Tako je ShadowLeak zaustavljen.
No koncept napada nije nestao.
Mali trik, novi zaobilazak
Radware je zatim, prema opisu Arsa, uz „umjeren trud“ pronašao zaobilaznicu. Rezultat je ZombieAgent.
Umjesto da od agenta traži da izgradi URL s podacima, nova prompt injekcija mu predoči potpuni popis unaprijed pripremljenih URL-ova, primjerice:
https://example.com/ahttps://example.com/b- … sve do
zte0–9.
Prompt dodatno definira kako kodirati podatke:
- posebno obilježje umjesto razmaka,
- svako slovo u imenu ili adresi preslika se na odgovarajući URL.
Budući da je OpenAI zabranio slaganje novih URL-ova i dodavanje parametara, ali nije spriječio biranje iz liste i dodavanje jednog znaka, agent je mogao izvoziti podatke znak po znak, otvarajući jedan URL za svako slovo ili broj.
Napadač zatim samo pročita pristupne logove na svom poslužitelju i iz slijeda URL-ova rekonstruira originalni tekst.
Radware je to opisao ovako: „Attackers can easily design prompts that technically comply with these rules while still achieving malicious goals.“
Bez malwarea na uređaju, s trajnim uporištem u memoriji
ZombieAgent nije samo pametan kanal za curenje podataka.
Ars Technica ističe još dvije bitne stvari za enterprise okruženja:
- Sav promet ide direktno s ChatGPT poslužitelja. Na korisničkom računalu nema malwarea, a iz perspektive korporativne mreže to izgleda kao uobičajen SaaS promet – nema očitih sumnjivih konekcija.
- Napad se upisuje u dugoročnu memoriju asistenta. Prompt kaže ChatGPT-u da logiku zaobilaženja spremi u korisnički „long-term memory“, pa napad može preživjeti više sesija.
Dobivate kombinaciju:
- skrivenosti (bez jasnih tragova na endpointu),
- postojanosti (logika je spremljena u memoriji agenta),
- curenja podataka (znak po znak putem niza URL-ova).
Sve to može krenuti od jednog e-maila koji izgleda potpuno bezazleno.
Zašto je prompt injection teško trajno riješiti
Ovdje nije riječ samo o jednom bugu u OpenAI-ju, nego o načinu kako današnji LLM agenti funkcioniraju.
Kad vi agentu kažete: „Sažmi ovaj mail“, model:
- pročita cijeli tekst poruke,
- tretira ga i kao sadržaj i kao potencijalni izvor naredbi.
Posljedice:
- Zlonamjerne upute u tijelu poruke za model su neodvojive od legitimnih korisničkih uputa.
- Model nema vlastito razumijevanje namjere niti čvrstu granicu između sistemskih pravila i neprovjerenog teksta izvana.
Ta se klasa napada naziva neizravna prompt injekcija (indirect prompt injection).
Vendor može dodavati zaštite – „ne dodaj parametre URL-ovima“, „ne otvaraj nepoznate domene“ – ali to su reaktivni, ad hoc potezi. Dovoljno je malo promijeniti tehniku ili format, i napad se vraća pod novim imenom.
Pascal Geenens, VP za threat intelligence u Radwareu, poručuje: „Guardrails should not be considered fundamental solutions for the prompt injection problems. Instead, they are a quick fix to stop a specific attack.“ Dok ne postoji temeljno rješenje, prompt injection ostaje „active threat“ i „real risk“ za organizacije koje uvode AI asistente.
Ars povlači paralelu s SQL injection i korupcijom memorije: desetljećima se na njima radi, danas su teži za iskoristiti, ali nisu nestali.
OpenAI-jev najnoviji potez
Nakon objave ZombieAgenta, OpenAI je uveo još jednu mjeru, prema pisanju Ars Technice.
ChatGPT agenti sada:
- neće otvarati linkove koji potječu iz e-mailova, osim ako
- se link nalazi u nekom dobro poznatom javnom indeksu ili
- ste vi sami eksplicitno unijeli tu URL adresu u chatu.
Cilj je:
- spriječiti agente da automatski prate bazne URL-ove pod kontrolom napadača,
- otežati da skrivena uputa u mailu pokrene promet prema zlonamjernim domenama.
Još jedna ograda više. Vjerojatno znatno otežava eksploataciju, ali ne rješava glavno pitanje: kako dopustiti LLM-u da čita proizvoljan sadržaj, a da ne posluša zamaskirane naredbe unutra?
Što ovo znači za vas ako uvodite AI agente
Ako u svojim timovima već koristite LLM agente – za e-mail, dokumente ili web – ili to tek planirate, ZombieAgent je jasan znak da sigurnost ne možete prepustiti samo vendoru.
Ključne poruke:
- Shvatite prompt injection kao trajnu klasu rizika. Kao SQL injection – nešto što dizajnom, testiranjem i monitoringom stalno držite pod kontrolom.
- Nemojte se oslanjati isključivo na zaštite dobavljača. One su korisne, ali ciljaju konkretne tehnike, ne cijeli problem.
- Strogo ograničite što agent smije raditi. Whitelistajte domene, sustave i radnje umjesto da agentu date „otvoren internet“ i široke ovlasti.
- Logirajte i analizirajte radnje koje agent poduzima. Budući da promet izgleda legitimno, vidljivost je jedini način da na vrijeme uočite neobične uzorke.
ZombieAgent pokazuje da su današnji AI asistenti, bez obzira na impresivne odgovore, i dalje poslušni izvršitelji bez pravog razumijevanja konteksta. Svaki tekst koji im pošaljete potencijalno je i uputa – a napadači to znaju iskoristiti.
