Злонамеренные приглашения в Google Календарь могут привести к утечке ваших электронных писем через ChatGPT

Исследователь в области безопасности сообщил о том, как поддельное приглашение в Google Календарь может украсть приватное содержание электронной почты из ChatGPT при активированных коннекторах Gmail.

Эйто Миямура объяснил метод атаки на X, показывая, как хакеры используют приглашения в календарь с скрытыми инструкциями, затем ждут, когда жертва попросит ChatGPT выполнить задачу, как впервые сообщили на Tom’s Hardware.

Атакующий встраивает вредоносные команды в событие, которые затем ChatGPT автоматически выполняет, следуя вредоносным инструкциям. «Все, что вам нужно? Почтовый адрес жертвы,» утверждает Миямура.

Мы заставили ChatGPT раскрыть вашу личную электронную почту 💀💀

Что нужно? Только адрес электронной почты жертвы. ⛓️💥🚩📧

В среду, @OpenAI добавили полную поддержку инструментов MCP (Model Context Protocol) в ChatGPT. Теперь ChatGPT может подключаться и читать ваш Gmail, Календарь, Sharepoint, Notion,… pic.twitter.com/E5VuhZp2u2

— Эйто Миямура | 🇯🇵🇬🇧 (@Eito_Miyamura) 12 сентября 2025

Как отмечает Tom’s Hardware, в середине августа OpenAI добавила в ChatGPT нативные коннекторы Gmail, Google Calendar и Google Contacts. После предоставления разрешения, ассистент автоматически получает доступ к данным учетной записи Google пользователя. Это значит, что даже случайный вопрос вроде «Что у меня сегодня в календаре?» может обеспечить доступ к вашему календарю.

Справочный центр OpenAI поясняет, что эти коннекторы активируют автоматический доступ к данным только при включении, хотя вы можете отключить его в настройках, чтобы выбирать источники вручную.

Tom’s Hardware объясняет, что Протокол контекста модели позволяет разработчикам создавать пользовательские коннекторы, однако OpenAI не контролирует эти соединения. Миямура подчеркивает этот момент, поскольку данная атака зависит от новой общей экосистемы.

Метод атаки, называемый косвенной инъекцией запроса, скрывает вредоносные команды внутри авторизованных точек доступа к данным, которые в данном случае представляют собой текст, встроенный в события календаря. Похожие атаки были зарегистрированы в августе, показывая, как скомпрометированные приглашения могут управлять AI Gemini от Google и даже контролировать устройства умного дома.

Система остается неактивной, пока услуги Gmail и Calendar не будут связаны внутри ChatGPT. Пользователи, которые хотят минимизировать риски, должны отключить свои источники и отключить автоматический доступ к данным.

Эксперты советуют изменить настройку Google Календаря «Автоматически добавлять приглашения», чтобы появлялись только приглашения от известных контактов, и скрывать отклоненные события.