Una vulnerabilidad crítica en la característica de los conectores CHATGPT de OpenAI permite a los atacantes exfiltrar los datos confidenciales de las cuentas conectadas de Google Drive sin ninguna interacción del usuario más allá del intercambio de archivos inicial.
El ataque, denominado “Agentflayer”, representa una nueva clase de exploits de clic cero dirigidos a herramientas empresariales con IA.
La vulnerabilidad fue revelada por los investigadores de seguridad cibernética Michael Bargury de Zenity y Tamir Ishay Sharbat en la Conferencia de Hacker Black Hather en Las Vegas, demostrando cómo un solo documento malicioso puede desencadenar el robo de datos automáticos de las cuentas de almacenamiento en la nube de las víctimas.
Los conectores CHATGPT, lanzados a principios de 2025, permiten que el asistente de IA se integre con aplicaciones de terceros, incluidas Google Drive, SharePoint, Github y Microsoft 365. Esta característica permite a los usuarios buscar archivos, extraer datos en vivo y recibir respuestas contextuales basadas en sus datos comerciales personales.
Chatgpt 0-clic vulnerabilidad
Los investigadores explotaron esta funcionalidad a través de un ataque de inyección indirecta. Al incrustar instrucciones maliciosas invisibles dentro de documentos aparentemente benignos que utilizan técnicas como el texto blanco de 1 píxel sobre fondos blancos, los atacantes pueden manipular el comportamiento de ChatGPT cuando se procesa el documento.
“Todo lo que el usuario debe hacer para que el ataque se realice es subir un archivo ingenuo de una fuente no confiable a ChatGPT, algo que todos hacemos a diario”, Bargury explicado. “Una vez que se carga el archivo, se acabó el juego. No se requieren clics adicionales”.
El ataque se desarrolla cuando una víctima sube el documento envenenado para chatgpt o lo comparte con su Google Drive. Incluso una solicitud inofensiva como “resumir este documento” puede desencadenar la carga útil oculta, haciendo que ChatGPT busque en la unidad de Google de la víctima información confidencial, como claves API, credenciales o documentos confidenciales.
Los investigadores aprovecharon la capacidad de ChatGPT para representar imágenes como el método de exfiltración de datos primario. Cuando se le indica a través del aviso oculto, ChatGPT incrusta los datos robados como parámetros en las URL de imágenes, lo que provoca solicitudes automáticas de HTTP a los servidores controlados por el atacante cuando se representan las imágenes.
Inicialmente, Openai había implementado mitigaciones básicas al verificar las URL a través de un punto final interno “URL_SAFE” antes de emitir imágenes. Sin embargo, los investigadores descubrieron que podían pasar por alto estas protecciones mediante el uso de URL de almacenamiento de blob Azure, que ChatGPT considera confiable.
Al alojar imágenes en el almacenamiento de blob de Azure y la configuración de Azure Log Analytics para monitorear las solicitudes de acceso, los atacantes pueden capturar datos exfiltrados a través de los parámetros de solicitud de imagen al tiempo que parecen utilizar la infraestructura legítima de Microsoft.
ataque exitoso
La vulnerabilidad plantea riesgos significativos para los entornos empresariales donde los conectores CHATGPT se implementan cada vez más. Las organizaciones que usan la característica para integrar sistemas críticos de negocios, como sitios de SharePoint que contienen manuales de recursos humanos, documentos financieros o planes estratégicos, podrían enfrentar infracciones integrales de datos.
“Esto no es exclusivamente aplicable a Google Drive”, señalaron los investigadores. “Cualquier recurso conectado a ChatGPT puede ser dirigido a la exfiltración de datos. Ya sea GitHub, SharePoint, OneDrive o cualquier otra aplicación de terceros a la que ChatGPT pueda conectarse”.
El ataque es particularmente preocupante porque evita el entrenamiento tradicional de conciencia de seguridad. Los empleados que han sido educados sobre el phishing de correo electrónico y los enlaces sospechosos aún pueden ser víctimas de este vector de ataque, ya que el documento malicioso parece completamente legítimo y el robo de datos ocurre de manera transparente.
OpenAi fue notificado de la vulnerabilidad e implementó rápidamente mitigaciones para abordar el ataque específico demostrado por los investigadores. Sin embargo, el desafío arquitectónico subyacente sigue sin resolverse.
“Openai ya es consciente de la vulnerabilidad y tiene mitigaciones establecidas. Pero desafortunadamente estas mitigaciones no son suficientes”, advirtieron los investigadores. “Incluso las URL seguras se pueden usar para fines maliciosos. Si una URL se considera segura, puede estar seguro de que un atacante encontrará una forma creativa de aprovecharla”.
Esta vulnerabilidad ejemplifica desafíos de seguridad más amplios que enfrentan herramientas empresariales con IA. Se han descubierto problemas similares en toda la industria, incluida la vulnerabilidad de “Echoleak” de Microsoft en copiloto y varios ataques de inyección inmediata contra otros asistentes de IA.
El Proyecto Open Worldwide Application Security (OWASP) ha identificado la inyección rápida como el riesgo de seguridad superior en sus 10 mejores aplicaciones de 2025 para las aplicaciones LLM, lo que refleja la naturaleza generalizada de estas amenazas en los sistemas de IA.
A medida que las empresas adoptan rápidamente agentes y asistentes de IA, los investigadores de seguridad enfatizan la necesidad de marcos integrales de gobernanza que aborden estos nuevos vectores de ataque.
Mitigaciones
Los expertos en seguridad recomiendan varias medidas para mitigar los riesgos de ataques similares:
Implemente controles de acceso estrictos para permisos de conector de IA, siguiendo el principio de menor privilegio. Implementar soluciones de monitoreo diseñadas específicamente para actividades de agentes de IA. Educar a los usuarios sobre los riesgos de cargar documentos desde fuentes no confiables hasta sistemas de inteligencia artificial. Considere el monitoreo a nivel de red para patrones de acceso a datos inusuales. Auditar regularmente los servicios conectados y sus niveles de permiso.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
