IT之家 6 月 29 日消息,安全公司 Push Security 发文,透露有黑客假借 Push Security 名义,滥用 OpenAI 组织邀请功能对自家员工进行钓鱼攻击,试图诱导员工进入由黑客控制的 AI 工作环境。
根据 Push Security 的调查,相应黑客首先创建了一个名为“Push Security Inc”的 OpenAI 组织,然后通过 OpenAI 官方通知邮箱 noreply@tm.openai.com向特定员工发送组织邀请邮件。由于邮件本身来自 OpenAI 且通过了标准邮件身份验证,因此极具迷惑性。
虽然邮件中确实有一条提示,指出邀请方使用的是gmail.com域名,与收件人的pushsecurity.com企业域名并不一致,但这一提醒仅以一行普通文字显示,很容易被用户忽略。
更值得注意的是,被邀请员工默认被赋予了 Owner(所有者)权限,也就是最高级别的组织管理权限,而黑客甚至提前绑定了一张 Visa 信用卡,以消除员工进入后可能遇到的付费门槛或异常提示。
Push Security 认为,本次黑客行动并非随机撒网,而是经过了明确的前期侦察,专门针对自身进行攻击。为了调查事件本身,Push Security 接受了一封邀请,并发现整个加入流程几乎没有额外验证:用户只需点击邮件中的链接,即可直接加入该组织,无需再次输入账号密码,也无需完成其他身份确认。
研究人员进入该组织后发现,其他受邀员工仍处于“待接受邀请”状态,尚未加入,也没有迹象显示已有内部数据泄露。后续 Push Security 向全体员工发送警告,并设置了邮件过滤规则,拦截类似邀请,防止未来员工再次收到相关邮件。
Push Security 表示,随着 AI 服务逐渐成为企业日常工作的重要入口,这类围绕组织邀请、共享项目和平台通知展开的新型社工模式未来可能会越来越常见。对于各大公司而言,除了防范传统钓鱼邮件外,也需要开始建立针对 AI 平台协作机制的安全验证流程。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。