ShadowLeak: hoe ChatGPT Gmail-connector misbruikt kon worden

Onderzoekers hebben een ernstige kwetsbaarheid ontdekt bij OpenAI’s tool Deep Research, onderdeel van ChatGPT, waarmee kwaadwillenden zonder medeweten van de gebruiker gevoelige Gmail-gegevens konden stelen. Deze gelegenheid heeft de naam ShadowLeak gekregen, volgens The Verge. 

De aanval begint met een speciaal geconstrueerde e-mail die, voor de ontvanger niet opvallend, instructies bevat in verborgen of opgemaakte HTML. Bijvoorbeeld witte tekst op witte achtergrond of andere opmaaktrucs die een mens niet meteen ziet. Zodra de gebruiker de Deep Research-connectoren heeft ingeschakeld (toegang tot Gmail en Google Agenda), en later een legitieme opdracht geeft aan Deep Research, kan het model de verborgen instructies “oppikken” en gebruiken. Dat betekent dat de AI, wanneer het mailboxinhoud doorzoekt of samenvat, ook gevoelige data kan doorsturen naar een server van een aanvaller. 

ShadowLeak is anders dan typische e-mail-hacks waarbij je zelf moet klikken op een link of iets moet downloaden. Hier zit de instructie al in de data die Deep Research mag lezen. Omdat alles vanuit OpenAI’s eigen servers gebeurt, zijn er nauwelijks sporen die bijvoorbeeld bedrijfsbeveiliging makkelijk kan zien. Dat maakt de kwetsbaarheid potentieel krachtig en moeilijk te detecteren.

Bovendien geldt de kwetsbaarheid niet alleen voor Gmail: elk systeem of verbinding die lijkt op de manier waarop Deep Research werkt met toegang tot persoonlijke bestanden, e-mails of agenda’s kan mogelijk blootstaan aan soortgelijke risico’s.

Radware rapporteerde de kwetsbaarheid aan OpenAI in juni. OpenAI bracht begin september een patch uit om ShadowLeak te repareren. (Bron: The Register) Volgens de meldingen zijn maatregelen genomen om HTML-inhoud beter te controleren, onzichtbare prompt-instructies te blokkeren en de controle over wat een agent leest en uitvoert te verscherpen.

Hoewel de kwetsbaarheid nu officieel gepatcht is, waarschuwen beveiligingsexperts dat er nieuwe varianten kunnen ontstaan. Zodra AI-agenten toegang krijgen tot privédata, groeit de aanvalsvlak (attack surface) snel.

Voor gebruikers die al toegang hebben tot Deep Research met Gmail/Agenda-connectoren geldt: schakel die connectoren uit als je ze niet nodig hebt. Let op welke agenda-uitnodigingen automatisch op je kalender verschijnen. Verberg of verwijder invites van onbekende afzenders indien mogelijk. Controleer welke machtigingen je AI-tools geeft, en wees terughoudend met toegang tot persoonlijke of vertrouwelijke data.

ShadowLeak benadrukt een fundamentele spanning in AI-ontwikkeling: de balans tussen gebruiksgemak en security. Tools als Deep Research beloven gemak, automatisch toegang tot je e-mails of agenda om je werk te helpen, maar als die toegang wordt misbruikt, kan de schade groot zijn. Terwijl AI-agenten steeds krachtiger worden, groeit de behoefte aan veilige standaardinstellingen, transparantie en duidelijke verantwoordelijkheden.