Image by Gaining Visuals, from Unsplash
يمكن أن تجعل الدعوات الخبيثة من Google Calendar تسرب بريدك الإلكتروني عبر ChatGPT
وقت القراءة: 2 دقائق
آخر التحديثات: Sep 17, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
أفاد باحث أمني بكيفية سرقة محتوى البريد الإلكتروني الخاص من ChatGPT عبر دعوة كاذبة على Google Calendar عند تمكين موصلات Gmail.
هل أنت في عجلة من أمرك؟ هنا الحقائق السريعة:
- يعمل الهجوم إذا تم تمكين موصلات Gmail و Calendar في ChatGPT.
- يتيح الموصلات الأوتوماتيكية من Google لـ ChatGPT الوصول إلى البيانات بدون مطالب صريحة.
- تخفي حقن الموجهات غير المباشرة التعليمات الخبيثة داخل نص حدث التقويم.
شرحت إيتو ميامورا طريقة الهجوم على X، موضحة كيف يستخدم القراصنة دعوات التقويم مع التعليمات المخفية، ثم ينتظرون الضحية لطلب من ChatGPT تنفيذ مهمة، كما أفادت لأول مرة Tom’s Hardware.
تضمن المهاجم أوامر خبيثة في الحدث، والتي ينفذها ChatGPT تلقائيًا وفقًا للتعليمات الخبيثة. “كل ما تحتاجه؟ عنوان البريد الإلكتروني للضحية،” كما تزعم ميامورا.
تمكنا من الحصول على ChatGPT لكشف بيانات بريدك الإلكتروني الخاص 💀💀
كل ما تحتاجه؟ عنوان البريد الإلكتروني للضحية.⛓️💥🚩📧
يوم الأربعاء، أضافت @OpenAI دعمًا كاملاً لأدوات MCP (بروتوكول سياق النموذج) في ChatGPT. مما يتيح لـ ChatGPT الاتصال وقراءة بريدك الإلكتروني على Gmail، والتقويم، وSharepoint، وNotion،… pic.twitter.com/E5VuhZp2u2
— Eito Miyamura | 🇯🇵🇬🇧 (@Eito_Miyamura) 12 سبتمبر 2025
تشير ملاحظات Tom’s Hardware إلى أن OpenAI قامت بإضافة موصلات أصلية لـ Gmail وGoogle Calendar و Google Contacts إلى ChatGPT في منتصف أغسطس. بعد منح الإذن، تحصل المساعدة على الوصول التلقائي إلى بيانات حساب Google للمستخدمين. هذا يعني أن حتى سؤال عابر مثل “ما الذي في جدولي اليوم؟” يمكنه الوصول إلى تقويمك.
يشرح مركز المساعدة في OpenAI أن هذه الموصلات تنشط الوصول التلقائي للبيانات فقط عند تمكينها، مع العلم أنه يمكنك إيقافها من الإعدادات لتحديد المصادر يدويًا.
تشرح Tom’s Hardware أن بروتوكول Model Context يتيح للمطورين إنشاء موصلات مخصصة، ولكن OpenAI لا تراقب هذه الاتصالات. تسلط Miyamura الضوء على هذه النقطة حيث يعتمد هذا الهجوم على نظام بيئي جديد بشكل عام.
يتم تسمية طريقة الهجوم بـ “إدخال التلميحات غير المباشرة”، حيث تخفي الأوامر الضارة داخل نقاط الوصول المعتمدة للبيانات، والتي في هذه الحالة هي النصوص المضمنة في أحداث الجدول الزمني. وقد تم الإبلاغ عن هجمات مشابهة في أغسطس، مما يظهر كيف يمكن أن توجه الدعوات المخترقة Gemini AI التابعة لـ Google وحتى التحكم في أجهزة المنزل الذكية.
يظل النظام غير نشط إلا إذا تم ربط خدمات Gmail و Calendar داخل ChatGPT. يجب على المستخدمين الذين يرغبون في تقليل المخاطر قطع روابط مصادرهم وإيقاف الوصول التلقائي إلى البيانات.
ينصح الخبراء بتغيير إعداد “إضافة الدعوات تلقائيًا” في Google Calendar بحيث تظهر فقط الدعوات من جهات الاتصال المعروفة وإخفاء الأحداث التي تم رفضها.
القصة السابقة
أحدث المقالات 
