Una vulnerabilidad de clic cero descubierta en el profundo agente de investigación de ChatGPT permitió a los atacantes exfiltrar datos confidenciales de la cuenta Gmail de un usuario sin ninguna interacción del usuario.
El defecto, que OpenAi ha parcheado desde entonces, aprovechó una forma sofisticada de inyección indirecta de inmediato oculta dentro de un correo electrónico, engañando al agente para que filtre información personal directamente desde la infraestructura en la nube de OpenAi.
Según Radware, el ataque comenzó con un atacante que envió un correo electrónico especialmente elaborado a una víctima. Este correo electrónico contenía instrucciones ocultas, invisibles para el ojo humano, integrado dentro de su código HTML utilizando técnicas como pequeñas fuentes o texto blanco sobre blanco.
Cuando el usuario solicitó al agente de investigación profunda a analizar su bandeja de entrada de Gmail, el agente leería este correo electrónico malicioso junto a los legítimos.
Las indicaciones ocultas utilizaron tácticas de ingeniería social para evitar los protocolos de seguridad del agente. Estas tácticas incluyen:
Autoridad de afirmación: el aviso afirmó falsamente que el agente tenía “autorización completa” para acceder a URL externos. Disfrazado de URL maliciosas: el servidor del atacante se presentó como un “sistema de validación de cumplimiento” legítimo. Lectura de la persistencia: se instruyó al agente que volviera a intentar la conexión varias veces si fallaba, superando los bloques de seguridad no deterministas. Creación de urgencia: el aviso advirtió que el incumplimiento de la falta daría como resultado un informe incompleto. Seguridad falsamente reclamando: las instrucciones ordenaron engañosamente al agente que codificara los datos robados en Base64, enmarcándolo como una medida de seguridad mientras realmente ofuscó la exfiltración de datos.
Una vez que el agente procesó el correo electrónico malicioso, buscaría en la bandeja de entrada del usuario la información de identificación personal específica (PII), como un nombre y dirección de un correo electrónico de recursos humanos.
Luego codificaría estos datos y los enviaría al servidor controlado por el atacante, todo sin ningún indicador visual o confirmación del usuario.
Exfiltración del lado del servicio versus al cliente
Lo que hizo que esta vulnerabilidad fuera particularmente peligrosa fue su naturaleza del lado del servicio. La exfiltración de datos ocurrió completamente dentro del entorno de la nube de OpenAI, ejecutado por la propia herramienta de navegación del agente.
Esta es una escalada significativa de los ataques anteriores del lado del cliente que se basó en representar contenido malicioso (como imágenes) en el navegador del usuario.
Debido a que el ataque se originó en la infraestructura de Openai, fue invisible para medidas de seguridad empresariales convencionales como puertas de enlace web seguras, monitoreo de puntos finales y políticas de seguridad del navegador. El usuario no tendría conocimiento de la fuga de datos, ya que no se mostraría nada en su pantalla, radware dicho.
Si bien la prueba de concepto se centró en Gmail, los principios de la vulnerabilidad podrían aplicarse a cualquier conector de datos integrado con el agente de investigación profunda. Las indicaciones maliciosas podrían estar ocultas en:
PDFS o documentos de Word en Google Drive o Dropbox. Reuniones Invites en Outlook o Google Calendar. Registros en HubSpot o noción. Mensajes o archivos en equipos de Microsoft. ReadMe archivos en GitHub.
Cualquier servicio que permita que el contenido basado en texto sea ingerido por el agente podría haber servido como un vector potencial para este tipo de ataque.
Los investigadores que descubrieron el defecto sugieren que una estrategia de mitigación robusta implica un monitoreo continuo del comportamiento del agente para garantizar que sus acciones se alineen con la intención original del usuario. Esto puede ayudar a detectar y bloquear las desviaciones causadas por indicaciones maliciosas.
Se informó que la vulnerabilidad OpenAi el 18 de junio de 2025. El problema fue reconocido y se desplegó una solución a principios de agosto. Operai marcó la vulnerabilidad como se resolvió el 3 de septiembre de 2025.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
