系统:运行中
EN FR ES ZH
← 返回所有攻击
INDIRECT INJECTION MEDIUM NEW

跨应用上下文投毒:一个恶意 ChatGPT 应用即可操纵其他应用

2026 年 6 月的一篇 arXiv 研究表明,恶意 ChatGPT 应用可通过第一方 API 向所有已连接应用共享的对话上下文写入内容,使模型沦为「混淆代理」,转而危害良性应用。

2026-06-16 // 5 min affects: chatgpt, chatgpt-apps

这是什么?

2025 年 10 月 6 日,OpenAI 推出了 ChatGPT Apps,一种”应用中的应用”模式:第三方应用运行在 ChatGPT 内部,并共享同一个对话上下文——既与用户共享,也与同一会话中所有其他已连接的应用共享。该生态增长迅速,从 2025 年 12 月的 122 个应用增至 2026 年 5 月的 888 个,但其安全性此前几乎无人研究。

2026 年 6 月的一篇 arXiv 预印本——Chao Wang、Somesh Jha 与 Zhiqiang Lin 合著的 《Confused ChatGPT: Cross-App Context Poisoning via First-Party APIs》arXiv:2606.00485)——是对该攻击面的首次系统性分析。它提出了一类新的攻击:跨应用上下文投毒(cross-app context poisoning, XACP),是间接提示注入的一种变体,专属于共享同一上下文窗口的多应用助手。

工作原理

XACP 与传统间接注入的区别在于三项特性,它们都源自共享上下文的设计:

  1. 持久性。 注入的内容被写入共享上下文,并在多个对话轮次间持续存在,而不仅限于一次工具调用。
  2. 跨应用显现。 恶意效果不会在植入它的那个应用中触发。它会在稍后用户调用另一个同驻应用、模型读取已被投毒的上下文时才浮现。
  3. 第一方投递。 注入并非藏在文档或网页中,而是通过 OpenAI 向每个已连接应用开放的第一方 API 完成——正是应用合法地与对话交互所用的那些 API。

作者发现多个 API 都能向共享上下文写入由应用控制的内容,其中 sendFollowUpMessage 被认定为最直接、最强力的通道。其结果是一次教科书式的**混淆代理(confused deputy)**攻击:恶意应用污染共享上下文,当模型随后代表某个良性同驻应用行事时,它会读取该上下文,从而被引向良性应用从未意图的操作。

此处不复现任何攻击载荷,理解这一教训也无需如此。结构性要点在于:缺乏按应用区分来源的共享上下文,意味着任何应用的写入都会被其他所有应用当作可信内容读取——在模型对会话的认知中,应用之间的边界实际上已被抹除。

为何重要

多应用助手已不再是新奇之物;五个月内 ChatGPT Apps 数量逼近 900 个,说明这一模式正在普及,而同样的共享上下文理念也出现在其他智能体平台上。用户每连接一个应用都会扩大攻击面:一个低声誉的应用一旦安装,便可悄然潜伏,将模型行为偏向用户信任的高价值应用——支付、邮件、文件、生产力工具。

这正是从平台一侧看到的致命三要素:私有数据与高权限操作可经由受信应用触及;不可信内容通过同驻应用的 API 写入抵达;而共享上下文正是连接二者的通道。它也完全契合以语境完整性视角审视提示注入的观点:当指令与数据共享同一未加区分的数据流时,仅靠过滤无法可靠判断某段内容归谁所有。同一类攻击早在 2025 年初就以跨源上下文投毒的形式针对 AI 编程助手被演示过;ChatGPT Apps 把该风险推广到了面向大众的应用市场。

防御措施

根本原因是共享上下文缺乏来源标记,因此持久的修复应是架构层面的,而非依赖过滤:

  • 为上下文贡献标注来源并加以隔离。 平台应为每条上下文条目标注产生它的应用,模型应将其他应用的写入视为不可信输入而非指令。按应用划分命名空间或隔离的上下文,比单一扁平缓冲区更稳健。
  • 限制写入上下文的 API。sendFollowUpMessage 这类允许某应用注入其他应用将读取之内容的通道,应默认最小权限、限制频率,并在用户未显式打通之前对同驻应用不可见。
  • 跨应用操作须经确认。 当面向应用 B 的操作受到源自应用 A 的内容影响时,应要求用户进行明确确认,并同时点明这两个应用——这与在别处限制智能体损害所用的”在影响半径大处让人参与决策”原则一致。
  • 开发者: 不要把共享上下文当作权威。在行动前,应针对自身状态重新校验安全相关参数,而非信任会话当前所含的内容。
  • 用户: 尽量少连接应用,优先选择信誉良好的发布者,并牢记一个已安装的应用可能影响你与其他应用的交互,而不仅是它自身。

状态

项目内容
标识arXiv:2606.00485(“Confused ChatGPT”)
受影响OpenAI ChatGPT Apps 生态(应用中的应用,共享上下文)
类别跨应用上下文投毒——间接提示注入 / 混淆代理
载体向上下文写入的第一方 API(如 sendFollowUpMessage
影响跨应用操纵,经投毒上下文劫持操作
披露2026 年 6 月(arXiv 预印本)
补丁论文未记载;截至撰稿时未确认任何修复状态
实际利用仅为研究性概念验证;未观察到实际利用

Sources