文章核心观点 - Radware公司发现并披露了一种名为“ZombieAgent”的新型零点击间接提示注入漏洞，该漏洞针对OpenAI的Deep Research智能代理，可导致敏感客户数据从OpenAI服务器被自主窃取，并可能在组织内部引发类似蠕虫的自动化攻击蔓延 [1][13][14] 漏洞技术特性与攻击机制 - 该漏洞属于零点击攻击，攻击者可将隐藏指令嵌入日常电子邮件、文档或网页中，当AI代理处理此类内容时，会将其视为合法命令执行，无需用户交互或点击即可触发 [4] - 与之前披露的ShadowLeak漏洞相似，但ZombieAgent更高级，能够将恶意规则直接植入代理的长期记忆或工作笔记中，从而实现持久化，无需再次接触目标，每次使用代理时都会执行隐藏操作，并能在联系人或电子邮件收件人之间传播攻击 [2] - 所有恶意操作均在OpenAI的云基础设施内执行，而非用户设备或公司IT环境，因此没有端点日志记录该活动，也没有网络流量经过企业安全堆栈，传统安全工具难以检测 [5] - 单一恶意电子邮件可能成为组织内部及外部不断增长的自动化蠕虫式攻击活动的入口点 [3] 潜在影响与行业挑战 - 该漏洞使企业面临隐形数据窃取、持久性代理劫持以及可能绕过组织安全控制的服务端执行风险 [1] - 暴露出当前智能AI平台存在关键结构性弱点，企业依赖这些代理进行决策和访问敏感系统，但对其如何解释不可信内容或在云端执行何种操作缺乏可见性，形成了危险的盲区 [4] - 攻击者正利用快速扩张的“智能威胁面”，即AI代理读取邮件、与企业系统交互、启动工作流并自主决策的领域 [6] 公司行动与信息披露 - Radware已根据负责任披露协议向OpenAI披露了此漏洞 [6] - 公司计划于2026年1月20日举办关于ZombieAgent的现场网络研讨会，邀请安全领导者和AI开发者探讨攻击剖析、AI代理安全最佳实践以及负责任的AI威胁研究的未来 [7] - 完整的研报，包括技术细节和防御建议，将在网络研讨会后在Radware安全研究中心发布 [8] - Radware代表更广泛的网络安全社区进行威胁研究，以确保安全专业人员拥有与攻击者同等的洞察力 [8] 公司背景 - Radware是一家为多云环境提供应用安全与交付解决方案的全球领导者，其解决方案利用AI驱动算法提供精确、无需人工干预的实时保护，以应对复杂的网络、应用和DDoS攻击、API滥用及恶意机器人 [9]

漏洞核心发现 - 发现一个名为ShadowLeak的零点击漏洞，影响ChatGPT Deep Research代理，攻击者无需用户任何点击、提示或可见迹象即可窃取敏感信息[1] - 该漏洞属于全新的AI代理攻击类型，完全隐蔽且自动化，可绕过传统安全控制措施[2] - 攻击演示表明，仅需向用户发送一封电子邮件，一旦代理与恶意邮件交互，敏感数据即被提取，受害者无需查看、打开或点击邮件[2] 漏洞技术特性 - 这是首个纯服务器端的敏感数据泄露漏洞，数据窃取由OpenAI云端的ChatGPT Deep Research代理自主执行，无需任何用户操作[3] - 与之前披露的零点击攻击不同，ShadowLeak独立运行且不留下网络层面证据，使ChatGPT企业客户几乎无法检测[3] - 漏洞利用AI自主性、SaaS服务与客户敏感数据源集成，引入了全新风险类别，攻击向量常绕过传统安全解决方案的可见性和检测能力[4] 企业影响与背景 - 漏洞发现正值企业AI应用的关键时刻，ChatGPT产品副总裁在2025年8月表示其拥有500万付费企业用户，凸显了潜在风险规模[4] - 研究结果表明，仅依赖供应商缓解措施或传统安全工具的企业将面临全新类别的AI攻击风险[4] 披露与后续行动 - 公司于2025年6月18日根据负责任披露协议向OpenAI报告漏洞，OpenAI于2025年9月3日确认问题并通知修复[8] - 公司将于2025年10月16日举办关于ShadowLeak的现场网络研讨会，深入探讨该漏洞解剖、AI代理安全最佳实践及负责任AI威胁研究的未来[6] - 完整研究包括技术分解和防御建议，将在网络研讨会后于公司安全研究中心发布[7]