游乐游手机版
首页/AI热点日报/热点详情

黑客滥用OpenAI邀请功能精准钓鱼企业员工

类型:热点整理2026-07-01
安全圈近日披露了一则值得警惕的新型攻击案例,黑客将目标锁定在AI协作平台的邀请机制上。安全公司Push Security指出,一种针对企业员工的钓鱼攻击正在悄然扩散——攻击者巧妙地利用OpenAI的组织邀请功能,绕过了传统的邮件安全防线,诱导员工进入他们精心伪造的AI工作环境。绕过验证的“合法”陷阱

安全圈近日披露了一则值得警惕的新型攻击案例,黑客将目标锁定在AI协作平台的邀请机制上。安全公司Push Security指出,一种针对企业员工的钓鱼攻击正在悄然扩散——攻击者巧妙地利用OpenAI的组织邀请功能,绕过了传统的邮件安全防线,诱导员工进入他们精心伪造的AI工作环境。

绕过验证的“合法”陷阱

这场社会工程学攻击的手法相当老道。攻击者首先在OpenAI平台上注册了一个与目标企业同名的组织,随后通过OpenAI官方的通知邮箱向特定员工发送加入邀请。关键在于,邮件确实来自官方渠道,通过了标准的身份验证,因此表面上看毫无破绽,具有极强的迷惑性。

更令人意外的是,黑客还提前在组织账号中绑定了有效的Visa信用卡,并为受邀员工默认开启了最高级别的管理员权限。这一反常的“大方”举动,实际上主动帮助员工清除了加入时可能遇到的付费提示或系统异常告警,使得整个邀请流程显得完全正常,甚至格外贴心。

流程漏洞暴露安全盲区

安全研究人员亲身测试了加入流程,结果发现整个过程几乎没有额外的二次验证。用户只需点击邮件中的链接,即可直接进入该组织,无需再次输入账号密码,也无需通过企业现有的任何安全防线。这相当于在传统邮件安全体系上打开了一扇后门。

事实上,随着AI工具全面融入日常办公,这类基于平台协作机制和共享通知的社会工程学攻击只会越来越频繁。企业现在需要认真思考的是:将防御重心从传统的邮件钓鱼,扩展到针对AI平台协作流程的安全审查上。毕竟,攻击者永远在寻找最薄弱的环节——而这次,他们找到了。

来源:https://news.aibase.com/zh/news/29271

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。