发布时间:2026-07-18 06:02:13 来源:安智兰德资讯网 作者:探索
IT之家 6 月 29 日讯—— 网络安全公司 Push Security 近日披露了一起极具隐蔽性的安全定向攻击事件。黑客利用 OpenAI 的公司功能工组织邀请机制,伪装成官方通知向 Push Security 内部员工发送钓鱼邮件,曝光企图诱导受害者接入由黑客控制的黑客 AI 工作环境。
根据 Push Security 的安全团队调查,此次攻击呈现出高度的组织针对性和技术欺骗性:
noreply@tm.openai.com向目标员工发送邀请邮件。起钓由于发件人域名经过 OpenAI 验证,安全邮件成功通过了 SPF、公司功能工DKIM 等标准邮件身份验证协议,曝光极大降低了用户的黑客警惕性。gmail.com域名,与收件人所属的邀请鱼攻 pushsecurity.com企业域名不符,但该提示以普通文本形式呈现,极易被用户忽略。此次攻击最令人担忧的细节在于权限配置与支付门槛的处理:
Push Security 分析认为,这并非随机的广撒网式攻击,而是经过严密前期侦察的定向打击。
事件曝光后,Push Security 迅速采取了以下应对措施:
1. 向全体员工发布紧急安全警告。
2. 部署邮件过滤规则,自动拦截来自此类可疑组织的邀请邮件。
行业启示:
Push Security 指出,随着 AI 服务日益成为企业协作的核心入口,基于 组织邀请、项目共享及平台通知的新型社会工程学攻击将愈发普遍。
企业安全团队需意识到,传统的邮件钓鱼防护已不足以应对此类威胁。建立针对 AI 平台协作机制的独立安全验证流程,特别是针对“所有者”等高权限邀请的二次确认机制,已成为企业 AI 安全防御的新必修课。
相关文章