資安公司Radware研究人員揭露一項名為ShadowLeak的零點擊攻擊，鎖定ChatGPT的深入研究功能（Deep Research）。研究顯示，當使用者啟用深入研究功能並授權存取Gmail與瀏覽器工具時，攻擊者僅需投遞一封特製HTML郵件，即可能在雲端自動將收件匣中的敏感內容外送至攻擊伺服器，而無須任何點擊或顯示警示。OpenAI已於8月初完成修補。

ShadowLeak利用的手法稱為間接提示注入，攻擊指令隱藏在郵件HTML中，例如利用極小字體或白底白字讓使用者難以察覺，但代理在處理郵件時仍會讀取並執行。當使用者要求深入研究功能整理當日郵件或相關流程，代理不僅分析正常信件，也會同時讀取惡意郵件，進而遵循隱藏指令。

研究人員指出，初期嘗試直接要求外洩資料時，模型多半會拒絕。但經過調整，攻擊者透過語言設計加入已獲授權、失敗請重試、若未完成會影響報告等社交工程元素，逐步提高代理執行外部請求的成功率。最後研究人員發現只要先將個資諸如姓名、地址轉換為Base64編碼，再附加到特定URL參數，代理便會透過雲端的瀏覽工具送出，研究中測得的成功率達到100％。

與先前需要用戶端渲染內容觸發的攻擊不同，ShadowLeak的外洩封包直接從OpenAI雲端產生，這代表傳統的企業防禦措施，如安全閘道或端點偵測，無法攔截這類流量，同時，由於過程中沒有任何可見的畫面或互動，使用者也不會意識到資料已經外洩。研究人員強調，這使得攻擊面從客戶端延伸到伺服器端，風險範圍更廣。

雖然研究以Gmail為主要展示案例，但同樣的攻擊手法可套用到深入研究功能支援的其他連接器，Radware還點名Dropbox、SharePoint、Outlook、HubSpot、Notion、Teams與GitHub等服務。只要這些來源的內容或後設資料能被代理讀取，就可能成為提示注入的媒介，進一步洩漏合約、會議紀錄或客戶資料等敏感資訊。

Radware在6月18日透過Bugcrowd通報此問題，6月19日獲OpenAI受理並持續提供改良版本的攻擊樣本。8月初，OpenAI完成修補，Radware再測試多個變體均無法重現攻擊，9月3日官方正式將此漏洞標記為已解決。

研究人員指出，企業可在郵件進入代理前進行輸入清理，移除隱藏字元或可疑HTML，雖然這能降低部分風險，但仍不足以全面防堵。更根本的做法是監控代理行為，持續比對其操作與使用者原始需求是否一致，一旦偵測到偏離任務意圖，應即刻阻擋。