文章核心观点 - Radware公司发现并披露了一种名为“ZombieAgent”的新型零点击间接提示注入漏洞，该漏洞针对OpenAI的Deep Research智能代理，可导致敏感客户数据从OpenAI服务器被自主窃取，并可能在组织内部引发类似蠕虫的自动化攻击蔓延 [1][13][14] 漏洞技术特性与攻击机制 - 该漏洞属于零点击攻击，攻击者可将隐藏指令嵌入日常电子邮件、文档或网页中，当AI代理处理此类内容时，会将其视为合法命令执行，无需用户交互或点击即可触发 [4] - 与之前披露的ShadowLeak漏洞相似，但ZombieAgent更高级，能够将恶意规则直接植入代理的长期记忆或工作笔记中，从而实现持久化，无需再次接触目标，每次使用代理时都会执行隐藏操作，并能在联系人或电子邮件收件人之间传播攻击 [2] - 所有恶意操作均在OpenAI的云基础设施内执行，而非用户设备或公司IT环境，因此没有端点日志记录该活动，也没有网络流量经过企业安全堆栈，传统安全工具难以检测 [5] - 单一恶意电子邮件可能成为组织内部及外部不断增长的自动化蠕虫式攻击活动的入口点 [3] 潜在影响与行业挑战 - 该漏洞使企业面临隐形数据窃取、持久性代理劫持以及可能绕过组织安全控制的服务端执行风险 [1] - 暴露出当前智能AI平台存在关键结构性弱点，企业依赖这些代理进行决策和访问敏感系统，但对其如何解释不可信内容或在云端执行何种操作缺乏可见性，形成了危险的盲区 [4] - 攻击者正利用快速扩张的“智能威胁面”，即AI代理读取邮件、与企业系统交互、启动工作流并自主决策的领域 [6] 公司行动与信息披露 - Radware已根据负责任披露协议向OpenAI披露了此漏洞 [6] - 公司计划于2026年1月20日举办关于ZombieAgent的现场网络研讨会，邀请安全领导者和AI开发者探讨攻击剖析、AI代理安全最佳实践以及负责任的AI威胁研究的未来 [7] - 完整的研报，包括技术细节和防御建议，将在网络研讨会后在Radware安全研究中心发布 [8] - Radware代表更广泛的网络安全社区进行威胁研究，以确保安全专业人员拥有与攻击者同等的洞察力 [8] 公司背景 - Radware是一家为多云环境提供应用安全与交付解决方案的全球领导者，其解决方案利用AI驱动算法提供精确、无需人工干预的实时保护，以应对复杂的网络、应用和DDoS攻击、API滥用及恶意机器人 [9]