首页 > 教程攻略 > ai资讯 >偷梁换柱!黑客滥用OpenAI邀请功能精准钓鱼企业员工

偷梁换柱!黑客滥用OpenAI邀请功能精准钓鱼企业员工

来源:互联网 时间:2026-07-01 16:04:27

安全圈最近爆出一个值得警惕的新案例,这次黑客盯上了AI协作平台的邀请机制。据安全公司Push Security披露,一种针对企业员工的新型钓鱼攻击正在悄然蔓延——攻击者巧妙利用了OpenAI的组织邀请功能,轻松绕过传统邮件安全防线,目标是把员工一步步引入他们精心伪造的AI工作环境。

绕过验证的“合法”陷阱

这场社工攻击的手法相当老到。攻击者首先在OpenAI平台上注册了一个与目标企业同名的组织,然后通过OpenAI官方通知邮箱向特定员工发送加入邀请。关键在于——邮件确实来自官方渠道,通过了标准身份验证,所以表面上看毫无破绽,迷惑性极强。

更让人想不到的是,这帮黑客还提前在组织账号里绑定了有效的Visa信用卡,并且为受邀员工默认开启了最高级别的管理员权限。这种反常的“大方”举动,等于主动帮员工清除了加入时可能遇到的付费提示或系统异常告警,让整个邀请流程看起来完全正常、甚至显得格外贴心。

流程漏洞暴露安全盲区

安全研究人员亲自测试了加入流程,结果发现整个过程几乎没有额外的二次验证。用户只需要点一下邮件里的链接,就能直接进入那个组织,不需要再次输入账号密码,也不需要通过企业现有的任何安全防线。这就等于在传统邮件安全体系上开了一扇后门。

说实话,随着AI工具全面嵌入日常办公,这类基于平台协作机制和共享通知的社工手段只会越来越常见。企业现在需要认真考虑的是:把防御重心从传统邮件钓鱼,扩展到针对AI平台协作流程的安全审查上。毕竟,攻击者永远在寻找最薄弱的环节——而这次,他们找到了。