FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

功能集成带来安全隐患

ChatGPT最新推出的Model Context Protocol（MCP，模型上下文协议）工具支持功能存在严重安全漏洞，攻击者可利用该功能从用户邮箱窃取隐私信息。这项由AnthropicAI开发的技术创新允许AI助手连接并读取用户个人应用程序数据，包括Gmail、谷歌日历、Sharepoint和Notion等常用服务。虽然该集成旨在提升工作效率，但由于AI助手的本质特性，反而引入了重大安全风险。

恶意日历邀请攻击链

网络安全研究员Eito Miyamura展示了一种简单有效的攻击方法：

1. 攻击者向受害者邮箱发送特制日历邀请
2. 邀请中包含隐藏的"越狱"提示词（jailbreak prompt）
3. 当用户要求ChatGPT查看日历来安排日程时
4. AI读取恶意邀请中的越狱指令
5. ChatGPT被劫持，开始执行攻击者预设命令

值得注意的是，受害者甚至无需查看或接受该邀请，攻击即可完成。被控制的ChatGPT会搜索受害者私人邮件中的敏感信息，并将其外泄至攻击者指定的邮箱地址。

现有防护措施不足

目前OpenAI已将MCP功能限制在"开发者模式"下，并设置了每次会话需手动批准的安全机制。但这种依赖用户警觉性的防护存在明显缺陷：

• 用户容易产生"决策疲劳"（decision fatigue）心理现象
• 反复出现的批准提示会导致用户习惯性点击"同意"
• 多数用户不会仔细审查所授予的权限

专家指出，将此类工具与敏感个人数据集成需要比简单用户批准更强大的安全防护措施。在当前实现方式下，攻击者仅需知道受害者邮箱地址就能发动此类攻击，安全风险不容忽视。

"ChatGPT泄露了你的私人邮件数据
攻击者只需要知道受害者的邮箱地址️‍"
——Eito Miyamura (@Eito_Miyamura) 2025年9月12日

参考来源：

ChatGPT’s New Support for MCP Tools Let Attackers Exfiltrate All Private Details From Email

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）