Złośliwe zaproszenia w Kalendarzu Google mogą sprawić, że ChatGPT ujawni Twoje wiadomości e-mail

Badaczka bezpieczeństwa zgłosiła, jak fałszywe zaproszenie do Google Kalendarza może ukraść prywatne treści e-maili z ChatGPT, gdy włączone są konektory Gmaila.

Eito Miyamura wyjaśnił metodę ataku na X, pokazując, jak hakerzy wykorzystują zaproszenia kalendarzowe z ukrytymi instrukcjami, a następnie czekają, aż ofiara poprosi ChatGPT o wykonanie zadania, jak pierwotnie doniosło Tom’s Hardware.

Napastnik umieszcza szkodliwe polecenia w wydarzeniu, które ChatGPT następnie wykonuje automatycznie, podążając za złośliwymi instrukcjami. „Wszystko, czego potrzebujesz? Adres e-mail ofiary” – twierdzi Miyamura.

Skłoniliśmy ChatGPT do ujawnienia twoich prywatnych danych e-mail 💀💀

Potrzebujesz tylko adresu e-mail ofiary. ⛓️💥🚩📧

W środę, @OpenAI wprowadziło pełne wsparcie dla narzędzi MCP (Model Context Protocol) w ChatGPT. Pozwoliło to ChatGPT na łączenie się i odczytywanie twojego Gmaila, Kalendarza, Sharepoint, Notion… pic.twitter.com/E5VuhZp2u2

— Eito Miyamura | 🇯🇵🇬🇧 (@Eito_Miyamura) 12 września 2025

Tom’s Hardware zauważa, że w połowie sierpnia OpenAI dodało natywne konektory Gmail, Google Kalendarz i Google Kontakty do ChatGPT. Po udzieleniu zgody, asystent ma automatyczny dostęp do danych konta Google użytkowników. Oznacza to, że nawet luźne pytanie typu „Co mam dziś w kalendarzu?” może dać dostęp do twojego kalendarza.

Centrum pomocy OpenAI wyjaśnia, że te konektory aktywują automatyczny dostęp do danych tylko wtedy, gdy są włączone, chociaż możesz to wyłączyć w ustawieniach, aby wybierać źródła ręcznie.

Tom’s Hardware wyjaśnia, że protokół Model Context Protocol umożliwia deweloperom tworzenie niestandardowych konektorów, jednak OpenAI nie monitoruje tych połączeń. Miyamura podkreśla ten punkt, ponieważ ten atak zależy od nowego, ogólnego ekosystemu.

Metoda ataku, zwana pośrednim wstrzyknięciem polecenia, ukrywa szkodliwe komendy w autoryzowanych punktach dostępu do danych, które w tym przypadku są tekstem osadzonym w wydarzeniach kalendarzowych. Podobne ataki zostały zgłoszone w sierpniu, pokazując jak skompromitowane zaproszenia mogły sterować sztuczną inteligencją Google – Gemini AI, a nawet kontrolować urządzenia inteligentnego domu.

System pozostaje nieaktywny, dopóki usługi Gmail i Kalendarz nie są połączone wewnątrz ChatGPT. Użytkownicy, którzy chcą zminimalizować ryzyko, powinni odłączyć swoje źródła i wyłączyć automatyczny dostęp do danych.

Eksperci radzą zmienić ustawienia w Kalendarzu Google dotyczące „Automatycznego dodawania zaproszeń”, tak aby pojawiały się tylko zaproszenia od znanych kontaktów oraz ukryć odrzucone wydarzenia.