# 安全公司Push Security披露黑客利用OpenAI组织邀请功能实施钓鱼攻击

- 来源：IT之家（RSS）
- 发布时间：2026-06-29 23:20
- AIHOT 分数：63
- AIHOT 链接：https://aihot.virxact.com/items/cmqzeochp0115sltj5zi0c5am
- 原文链接：https://www.ithome.com/0/970/231.htm

## AI 摘要

安全公司Push Security披露，黑客假借其名义创建OpenAI组织，通过官方通知邮箱发送邀请邮件。邮件通过标准身份验证，域名不符提醒仅以普通文字显示易被忽略。被邀请员工默认获Owner权限，黑客提前绑定Visa信用卡消除付费门槛。加入无需额外验证，点击链接即可。调查显示其他受邀员工仍为待接受状态，未发现数据泄露。Push Security已向全员发送警告并设置过滤规则。

## 正文

IT之家 6 月 29 日消息，安全公司 Push Security 发文，透露有黑客假借 Push Security 名义，滥用 OpenAI 组织邀请功能对自家员工进行钓鱼攻击，试图诱导员工进入由黑客控制的 AI 工作环境。

根据 Push Security 的调查，相应黑客首先创建了一个名为“Push Security Inc”的 OpenAI 组织，然后通过 OpenAI 官方通知邮箱 noreply@tm.openai.com 向特定员工发送组织邀请邮件。由于邮件本身来自 OpenAI 且通过了标准邮件身份验证，因此极具迷惑性。

虽然邮件中确实有一条提示，指出邀请方使用的是 gmail.com 域名，与收件人的 pushsecurity.com 企业域名并不一致，但这一提醒仅以一行普通文字显示，很容易被用户忽略。

更值得注意的是，被邀请员工默认被赋予了 Owner（所有者）权限，也就是最高级别的组织管理权限，而黑客甚至提前绑定了一张 Visa 信用卡，以消除员工进入后可能遇到的付费门槛或异常提示。

Push Security 认为，本次黑客行动并非随机撒网，而是经过了明确的前期侦察，专门针对自身进行攻击。为了调查事件本身，Push Security 接受了一封邀请，并发现整个加入流程几乎没有额外验证：用户只需点击邮件中的链接，即可直接加入该组织，无需再次输入账号密码，也无需完成其他身份确认。

研究人员进入该组织后发现，其他受邀员工仍处于“待接受邀请”状态，尚未加入，也没有迹象显示已有内部数据泄露。后续 Push Security 向全体员工发送警告，并设置了邮件过滤规则，拦截类似邀请，防止未来员工再次收到相关邮件。

Push Security 表示，随着 AI 服务逐渐成为企业日常工作的重要入口，这类围绕组织邀请、共享项目和平台通知展开的新型社工模式未来可能会越来越常见。对于各大公司而言，除了防范传统钓鱼邮件外，也需要开始建立针对 AI 平台协作机制的安全验证流程。
