Ваш календарь — ключ к секретам. Новая функция ChatGPT открыла дверь к вашим данным

leer en español

OpenAI ChatGPT MCP Gmail календарь кибербезопасность ИИ
Ваш календарь — ключ к секретам. Новая функция ChatGPT открыла дверь к вашим данным
OpenAI ChatGPT MCP Gmail календарь кибербезопасность ИИ

Хакеры нашли способ превратить ChatGPT в идеального соучастника.

image

Компания OpenAI включила в ChatGPT поддержку протокола Model Context Protocol (MCP), который позволяет подключать сторонние сервисы вроде Gmail, календарей, SharePoint, Notion и других источников данных. Идея заключалась в том, чтобы расширить возможности ассистента за счёт доступа к реальной информации пользователя, однако исследователи быстро показали, что новая функция может привести к масштабным утечкам.

Проблема в том, что искусственный интеллект следует инструкциям буквально, без способности оценивать, насколько они опасны. Для атаки достаточно лишь адреса электронной почты жертвы. Дальнейший сценарий оказался пугающе простым. Злоумышленник создаёт календарное приглашение с внедрённым текстом, который играет роль джейлбрейк -промпта. Приглашение отправляется на почту жертвы, и неважно, примет ли пользователь встречу или проигнорирует её — само наличие записи достаточно для атаки.

Когда владелец учётной записи просит ChatGPT помочь ему подготовиться к мероприятию и просмотреть календарь, модель считывает содержимое приглашения. Вместо нейтральной информации об организаторе и времени встречи ассистент сталкивается с внедрённой командой. Теперь управление полностью перехватывает злоумышленник, и ChatGPT начинает выполнять инструкции атакующего. В продемонстрированном сценарии ИИ, получив «подсказку» из календаря, приступает к поиску в почте жертвы и отправке найденных писем на указанный злоумышленником адрес.

Ситуация идеально вписывается в концепцию Lethal Trifecta, о которой писал исследователь Саймон Уиллиссон. Суть идеи в том, что риск возникает при совпадении трёх условий: наличие авторизованного доступа к сервису вроде Gmail, обработка непроверенного внешнего содержимого и возможность совершать действия вне системы — например, отправлять письма. По отдельности эти элементы не критичны, но их комбинация превращает любого ассистента в уязвимый канал для кражи данных.

Пока что OpenAI оставила MCP в статусе инструмента «для разработчиков» и требует ручного подтверждения каждого подключения, однако именно эта схема создаёт новый риск. Механизм согласий может обернуться «усталостью от решений» — пользователи, доверяя ассистенту, будут машинально нажимать «разрешить» снова и снова, не задумываясь над тем, что именно они открывают.

Инцидент показывает, что современные ИИ-ассистенты могут быть обмануты с помощью элементарных приёмов социальной инженерии. Даже без взлома инфраструктуры или эксплуатации уязвимостей достаточно грамотно встроенного текста, чтобы заставить систему раскрыть конфиденциальные данные. Это подчёркивает уязвимость подхода, при котором универсальные языковые модели получают прямой доступ к персональным сервисам пользователей.