这封邮件看起来完全正常。发件人是OpenAI官方通知邮箱noreply@tm.openai.com,通过了所有标准邮件验证,收件箱里和每天收到的任何平台通知邮件别无二致。但点击“接受邀请”的那一刻,你就已经走进了一个由黑客精心布置的人工智能工作空间。
这不是一次传统的网络钓鱼。没有伪造的登录页面,没有可疑的链接,没有拼写错误。攻击者利用了OpenAI组织邀请机制中最朴素也最致命的一个漏洞:平台信任。他们创建了一个与目标企业同名的虚假OpenAI组织,通过OpenAI自己的官方邮件系统向员工发送邀请,然后坐在对面,等你自己把机密信息送进来。
安全公司Push Security将这种攻击命名为“Poisoned Tenant”(中毒租户)。而就在最近,他们发现有人把这种攻击用在了自己身上。
现象:当“合法邮件”成为最危险的武器
2026年6月,Push Security多名员工接连收到来自OpenAI的组织邀请邮件。邮件邀请他们加入一个名为“Push Security Inc.”的OpenAI组织。公司名一字不差,邮件来自noreply@tm.openai.com,通过了SPF、DKIM、DMARC等所有标准邮件验证。
但Push Security从未创建过这个组织。
攻击者的操作链条简单得令人不安。先在OpenAI平台上创建一个以目标企业命名的组织租户。然后侦察并锁定该企业的特定员工,用他们的工作邮箱发送邀请。OpenAI的官方通知系统会代发这封邮件,邮件的每一行代码都来自OpenAI自己,没有任何伪造痕迹。最后,等员工加入后,利用组织内的ChatGPT工作空间收集他们在对话中提交的任何敏感信息:源代码、客户数据、内部战略、安全研究。
Push Security的研究人员决定以身试险,接受了这封邀请。结果令人脊背发凉:点击邮件中的链接后,无需输入任何账号密码,无需任何二次身份验证,一步直接加入。整个过程发生在一台全新的浏览器上,研究人员甚至没有在当前设备登录ChatGPT,点击邮件链接就足以完成所有认证。
进入这个虚假工作空间后,研究人员看到了更精心布置的陷阱。攻击者以Push Security公司CEO的身份创建了账户。所有被邀请的员工默认被赋予了Owner(所有者)权限,相当于组织内的最高管理权限。甚至有一张Visa信用卡已经绑定在计费账户上,让整个空间看起来就像真正由公司付费开通的企业ChatGPT工作区。
Push Security研发副总裁Luke Jennings在博客中写道:“这比普通的钓鱼攻击高出了几个量级。”
根据Push Security的披露,此次攻击并非随机撒网。攻击者进行了明确的前期侦察,专门针对Push Security的员工发起攻击。更值得警惕的是,该公司的客户也收到了类似的邀请邮件,说明攻击目标范围比最初预想的更广。
分析:新型攻击为什么防不胜防
信任体系的结构性漏洞
传统的网络安全防线建立在“谁发来的”这个判断之上。邮件安全网关会检查发件域名、IP信誉、邮件认证记录。SPF通过,DKIM签名有效,DMARC策略合规。好了,这是合法邮件,放行。
但Poisoned Tenant攻击恰恰利用了这套信任体系的内核。邮件确实来自OpenAI,确实是合法的组织邀请。安全设备没有撒谎。问题在于:发出邀请的组织本身是假的。一个用Gmail账号注册的虚假租户,顶着目标企业的名号,通过OpenAI自己的系统发出了合法的邀请。
这就像银行的安保系统无懈可击,但有人在前台冒充你的同事,用真正的工牌刷开了办公室的门。安保系统没有故障,故障的是“信任”本身。
Push Security早在2023年8月就发表过一篇名为“SAMLjacking a Poisoned Tenant”的研究,预见过这种攻击模式。三年后,有人把这项技术用在了他们自己身上。
一个点击,零防御
Push Security的实验揭示了另一个关键痛点:加入流程的零验证。
当研究人员点击邀请链接后,系统没有要求再次输入密码,没有要求多因素认证,没有要求通过企业邮箱确认身份。整个验证仅由一封邮件本身完成,而邮件本身就是攻击者利用的载体。
对于大多数企业来说,员工每天会收到数十封平台邀请邮件:Slack、Notion、GitHub、Zoom,每一封看起来都“合法”。要求员工逐一核实每封邀请的来源,在操作层面几乎不可能实现。
OpenAI其实在这类邮件中嵌入了一道防线:当邀请方的邮箱域名与收件方不匹配时,系统会在邮件正文中提示一行文字。“邀请方的邮箱域名gmail.com与您的企业域名pushsecurity.com不匹配。”但在一个来自OpenAI官方地址的邮件中,这行文字被淹没在大量看起来完全正常的邮件内容里,绝大多数人不会注意到它。
攻击者的真实目标:不是密码,而是“生产力”
这场攻击的最终目标不是窃取员工的登录密码,而是更直接也更危险的东西:员工在生产场景中提交到AI工具里的全部数据。
一个典型的知识工作者每天向ChatGPT提交的内容可能包括:代码片段、会议纪要、竞品分析、客户沟通内容、内部架构讨论。如果员工误以为这个被攻陷的ChatGPT工作空间是公司官方环境,他们会毫不设防地提交一切。攻击者无需破解任何系统,只要坐在管理后台静静读取。
这是“生产环节投毒”:不攻击你的基础设施,而是在你的AI协作工具中嵌入一个监听者。这和供应链攻击的逻辑如出一辙,只是目标从软件代码变成了企业知识。
Push Security指出,多个网络安全和技术领域的公司已成为这次攻击的潜在目标。攻击者选择这个领域并非偶然:网络安全公司掌握着大量关于漏洞情报和客户防御体系的核心信息,一旦泄露,后果远比普通企业的数据泄露严重。
SaaS平台正在成为社工攻击的基础设施
Poisoned Tenant攻击并非孤立事件,它代表了一个正在加速扩大的攻击模式:滥用SaaS平台的合法通知和邀请系统进行社工攻击。
过去几年,安全研究人员已经观察到类似的攻击手法在不同平台上的复现,利用微软Teams的邀请机制,利用Google Workspace的共享设置,利用Slack的频道邀请。核心逻辑始终如一:让平台替攻击者发出合法消息,从而绕过基于“来源可信度”的安全防线。
随着AI工具全面融入企业的日常运营,这类攻击的潜在破坏力正在指数级放大。与传统的SaaS工具不同,AI工作空间本身就是一个“信息收集器”,用户向它输入的每一段内容,理论上都蕴含了企业的核心资产。当一个企业开始用ChatGPT编写代码、规划战略、分析客户数据时,一个被攻陷的AI工作空间就相当于在企业内部安装了一个全天候运转的窃听器。
结论:当“信任”本身成为攻击面
Poisoned Tenant攻击揭示了一个正在发生的安全范式转移:企业的防御重心需要从“谁在发消息”转向“谁在创建房间”。
传统钓鱼攻击的核心是伪装发件人,让邮件看起来来自可信来源。而新一代攻击的核心是伪装创建者,让整个协作空间看起来由可信方建立。攻击者不需要伪造一封邮件,他们只需要让平台替他们发送一封真实的邮件。
对于企业安全团队而言,这意味着几个紧迫的调整。
AI平台的使用必须建立独立的验证流程。和入职时配置Slack、GitHub一样,任何加入AI组织工作空间的请求,无论来源多么“合法”,都应该通过企业管理员或专用安全通道二次确认。
邮件中的“身份提示”需要成为安全意识培训的重点。OpenAI实际上已经提供了提示,虽然只是一行小字,但绝大多数员工从未被告知需要注意这行字的内容。
监控SaaS组织成员变更。Push Security建议企业将SaaS组织层面的人员新增纳入实时告警范围,就像监控VPN登录一样。当有人被添加到公司的ChatGPT工作区时,安全团队应该第一时间知晓,尤其当邀请不是由IT部门发起的。
也是最根本的一条:安全行业的信任模型需要迭代。基于“消息来源可信”的防御体系正在失效。未来的安全架构必须引入上下文维度的验证,不是判断这封邮件是谁发的,而是判断这个工作空间是谁建的、什么时候建的、为什么建。
Push Security在博客中留下了一段值得深思的总结:
Poisoned Tenant攻击不是一个漏洞。它不是一个可以修复的bug。它是SaaS平台设计哲学的副产品。当你把邀请能力交给所有用户,把通知能力交给你的邮件系统时,攻击者不需要攻破任何系统,只需要比你的员工更早一步点击“创建组织”。
在AI逐步成为企业核心基础设施的今天,“信任”本身正在成为最危险的攻击面。这不是一个技术漏洞,这是一个设计层面的结构性盲区。谁能最先填补这个盲区,谁就能在下一轮安全竞赛中占据先机。而这扇窗口,正在快速关闭。
当攻击者不再需要破解你的系统,只需要比你的员工更早点击“创建组织”时,“合法”二字就不再是安全的保障,而是你亲手递给对方的钥匙。






快报