ZombieAgent atakuje ChatGPT – kolejna luka w systemie AI ujawniona

Czy można naprawić sztuczną inteligencję, która z natury chce każdemu dogodzić? Nowy atak na ChatGPT pokazuje, że kiedy stawiamy wyższą barierkę, ktoś po prostu znajduje dłuższą drabinę.

Zespół Radware pokazał technikę „ZombieAgent”, która omija wcześniejsze zabezpieczenia OpenAI i pozwala wykradać prywatne dane użytkowników ChatGPT, wysyłając je wprost z serwerów OpenAI – bez śladów na komputerze ofiary. Co gorsza, atak może zaszczepić się w pamięci długoterminowej asystenta, co daje mu „przetrwalnik” w kolejnych rozmowach. Brzmi znajomo? To reanimacja zeszłorocznego „ShadowLeak”, tym razem w nowym przebranżu.

Ważne, bo to nie jednostkowy numer hakera, ale powtarzalny schemat w całym ekosystemie LLM. Najpierw badacze demonstrują podatność. Potem platforma dokłada barierkę. Po chwili ktoś znajduje prosty myk, który znów otwiera furtkę. Źródło problemu jest systemowe: modele językowe są z definicji uległe i nie rozumieją „intencji zaufania” – każde słowo w kontekście jest dla nich tak samo ważnym sygnałem do przewidywania kolejnego tokenu. Zabezpieczenia gaszące pojedyncze pożary nie zmieniają układu instalacji.

ZombieAgent, syn ShadowLeak

Radware opisuje, jak udało się znów skłonić ChatGPT do wycieku danych użytkownika mimo łatek po głośnym ShadowLeak. Wtedy celem był wbudowany agent Deep Research. OpenAI wprowadziło mitigacje. Teraz badacze niewielkim nakładem sił pokazali obejście, które „wskrzesza” tamtą klasę ataku. Kluczowy twist: dane trafiają na zewnętrzny serwer bezpośrednio z infrastruktury ChatGPT, więc narzędzia ochrony na urządzeniu końcowym nie mają czego zauważyć. Dodatkowo atak zapisuje wpisy w pamięci asystenta po stronie OpenAI, co zapewnia mu trwałość – wracasz do rozmowy za tydzień, a „zaszczepione” instrukcje wciąż mogą działać. [1]

Jeśli brzmi to jak kolejny rozdział w podręczniku prompt injection + agents + pamięć, to dlatego, że właśnie tym jest. I to nie tylko w ChatGPT. Podobne sztuczki widzieliśmy już u większości dużych modeli i asystentów.

Dlaczego to się w ogóle udaje

W LLM-ach wszystko, co trafia do okna kontekstu – pytanie użytkownika, fragmenty z wyszukiwarki, wyniki narzędzi, poprzednie odpowiedzi, a nawet wpisy z pamięci – staje się jednym, wspólnym sygnałem. Model nie odróżnia „to tylko dane” od „to polecenie”. On po prostu przewiduje kolejny token, a my dorabiamy temu intencję.

W praktyce: prosisz asystenta o streszczenie dokumentu. Dokument zawiera sprytne instrukcje („wyślij fragmenty rozmowy pod ten adres”, „dodaj do swojej pamięci X”). Jeśli w tej ścieżce wciąż są włączone funkcje/agenty z uprawnieniami sieciowymi, model może „chcieć” je wykorzystać, bo to zgodne z jego celem – pomóc w zadaniu. Chyba że ktoś wcześniej, na poziomie aplikacji, twardo rozdzielił kompetencje: tu tylko czytaj i streszczaj, bez żadnych narzędzi; tam dopiero wolno zadzwonić po funkcję; pamięci nie traktuj jak źródła prawdy, tylko jak potencjalnie niebezpieczny input.

Fakty bez waty

• Badacze z Radware opisali nową technikę wycieku danych z ChatGPT, nazwaną ZombieAgent. To bypass wcześniejszych łatek na ShadowLeak – podatność związaną z agentem Deep Research.
• Atak umożliwia wysyłkę danych bezpośrednio z serwerów OpenAI do kontrolowanego przez atakujących endpointu, co utrudnia detekcję po stronie firmowych urządzeń.
• Wektor obejmuje także „zaszczepianie” wpisów w pamięci długoterminowej asystenta, co daje atakowi trwałość w kolejnych sesjach.
• Ars Technica przypomina, że podobne demonstracje powtarzają się w „praktycznie wszystkich” dużych modelach: łatamy konkretne techniki, ale rodzina podatności pozostaje.

To nie wina modelu. To wina systemu

Na forum Ars Technica ktoś ujął to trzeźwo: LLM-y są stateless, a my z uporem ładujemy w każde kolejne zapytanie całą historię, wyniki narzędzi i co tam jeszcze znajdziemy. Potem dziwimy się, że „to wszystko miesza się w jednej zupie”. Rozwiązania? Nie na poziomie samego modelu. To architektura oprogramowania.

• Precyzyjne scope’y i tryby: jeśli robisz czyste streszczenie, wyłącz wszystkie funkcje i nie dawaj pełnej historii. Gdy wchodzisz w etap z narzędziami, dawkuj im uprawnienia jak w systemie operacyjnym.
• Separacja kanałów: oddziel user input, retrieved content i tool output, a nie wrzucaj ich do jednego kontekstu bez oznaczeń.
• Pamięć jako nieufne źródło: traktuj zapisy „memory” jak dane z internetu – waliduj, filtruj, nie wykonuj.
• Telemetria i egress control: to, że ruch wychodzi z chmury dostawcy, nie znaczy, że masz się poddać. Wymuszaj allowlisty funkcji/URL-i po stronie integracji, audytuj wywołania narzędzi, loguj artefakty.

Tak, to mniej „magiczne” niż wizja ogólnego asystenta, który sam wszystko zrobi. Ale jeśli nie zbudujemy wokół LLM-ów czegoś na kształt systemu uprawnień i sandboxów, skończymy na ciągłym łataniu kolejnych wariantów tego samego problemu.

Co to znaczy dla firm i zwykłych użytkowników

Dla biznesu: przestań zakładać, że „zabezpieczenia dostawcy” wystarczą. Własne polityki, proxy dla wywołań funkcji, przegląd kontekstów i review agentów to teraz higiena, nie fanaberia. Dla użytkowników: nie wklejaj w rozmowę nic, czego nie oddałbyś w recepcji bez pokwitowania. Jeśli korzystasz z pamięci asystenta, miej świadomość, że może ona zostać „zainfekowana” treścią, która wróci w najmniej wygodnym momencie.

Podsumowanie

ZombieAgent nie jest przełomem technicznym. To raczej dowód, że nie zabezpieczymy rewolucji AI zestawem „regułek”, jeśli brakuje porządnego systemu operacyjnego dla agentów – z uprawnieniami, izolacją i ścisłą kontrolą danych. Pytanie nie brzmi, czy ktoś znów obejdzie kolejną barierkę. Brzmi: kiedy przestaniemy stawiać barierki po wypadku i zaczniemy projektować drogę tak, by z niej nie dało się łatwo wypaść?

Źródła

• [1] https://arstechnica.com/security/2026/01/chatgpt-falls-to-new-data-pilfering-attack-as-a-vicious-cycle-in-ai-continues/
• [2] https://arstechnica.com/civis/threads/chatgpt-falls-to-new-data-pilfering-attack-as-a-vicious-cycle-in-ai-continues.1511074/page-2