2026年6月30日,网络安全厂商Push Security发布紧急安全预警,曝光黑客恶意滥用OpenAI平台组织邀请机制发起精准钓鱼攻击。该攻击借助OpenAI官方信任域发送邀请邮件,可绕过绝大多数传统邮件安全防护,目前已出现多起企业员工误接入导致内部核心数据泄露的案例,凸显AI工具普及背景下的新型身份安全风险。

不少接入OpenAI办公服务的企业员工近期都收到过标注为「邀请你加入XX公司OpenAI组织」的官方邮件,而这其中很可能藏着黑客精心布置的陷阱。
与传统仿冒发件地址的钓鱼邮件不同,这次曝光的攻击链路完全依托OpenAI平台原生功能搭建,几乎没有明显的破绽。
黑客首先会在OpenAI平台注册与目标企业完全同名的组织账号,提前绑定有效的Visa信用卡完成企业认证,再通过平台的邀请功能向目标员工批量发送加入通知。所有邮件均由OpenAI官方邮箱发出,发件域经过SPF、DKIM等多重标准身份验证,可100%绕过传统邮件安全系统的过滤规则。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录