- Radware detectou unha vulnerabilidade en ChatGPT Deep Research que podería exfiltrar datos de contas de Gmail.
- O ataque empregou inxección indirecta de prompts con instrucións HTML ocultas e operou desde a infraestrutura de OpenAI.
- OpenAI xa mitigou a falla; non hai probas públicas da súa explotación real.
- Recoméndase revisar e revogar os permisos en Google e limitar o acceso dos axentes de IA aos correos electrónicos e documentos.
Investigacións recentes descubriron un burato de seguridade no axente de investigación profunda de ChatGPT que, baixo certas condicións, podería facilitar a saída de información dos correos electrónicos aloxados en GmailO descubrimento destaca os riscos de conectar asistentes de IA a caixas de entrada e outros servizos que conteñen datos confidenciais.
A empresa de ciberseguridade Radware informou do problema a OpenAI e o provedor mitigouno a finais do verán antes de que se fixese público.Aínda que o escenario de explotación era limitado e non hai probas de abuso no mundo real, a técnica empregada deixa unha lección importante para usuarios e empresas.
Que pasou cos datos de ChatGPT e Gmail?
Deep Research é un axente de ChatGPT orientado a investigacións de varios pasos que pode, se o usuario o autoriza, consultar fontes privadas como Gmail para xerar informes. O erro abriu a porta a que un atacante preparase unha mensaxe específica e o sistema, ao analizar a caixa de entrada, podía seguir comandos non desexados.
O risco real dependía da persoa que lle solicitaba a ChatGPT que levase a cabo unha investigación específica sobre o seu correo electrónico e que o problema coincidía co contido do correo electrónico maliciosoAínda así, o vector demostra como un axente de IA pode converterse na peza que facilita a fuga de datos.
Entre a información potencialmente afectada podería aparecer nomes, enderezos ou outros datos persoais presente nas mensaxes procesadas polo axente. Non se trataba dun acceso aberto á conta, senón dunha exfiltración condicionada pola tarefa asignada ao asistente.
Un aspecto especialmente delicado é que a actividade comezou a partir do Infraestrutura na nube de OpenAI, o que dificultaba que as defensas tradicionais detectasen comportamentos anómalos, xa que estes non procedían do dispositivo do usuario.
ShadowLeak: A inxección inmediata que o fixo posible
Radware bautizou a técnica como ShadowLeak e enmárcao nun inxección rápida indirecta: instrucións ocultas dentro do contido que o axente analiza, capaces de influír no seu comportamento sen que o usuario se decate.
O atacante enviou un correo electrónico con instrucións HTML camufladas mediante trucos como fontes diminutas ou texto branco sobre fondo branco. A primeira vista O correo electrónico parecía inofensivo, pero incluía instrucións para buscar na caixa de entrada datos específicos..
Cando o usuario lle pediu a Deep Research que traballase no seu correo electrónico, o axente leu esas instrucións invisibles e procedeu a extraer e enviar datos a un sitio web controlado polo atacanteNas probas, os investigadores mesmo chegaron a codificar a información en Base64 para que parecese unha suposta medida de seguridade.
As barreiras que requirían consentimento explícito para abrir ligazóns tamén podían sortearse invocando as propias ferramentas de navegación do axente, o que facilitaba a exfiltración a dominios externos baixo o control do atacante.
En ambientes controlados, Os equipos de Radware observaron un grao moi alto de eficacia, demostrando que a combinación de acceso ao correo e autonomía dos axentes pode ser persuasivo para o modelo se as instrucións incrustadas non se filtran axeitadamente.
Por que pasou desapercibido para as defensas
As comunicacións procedían de servidores de confianza, polo que os sistemas corporativos viron tráfico lexítimo procedente dun servizo de boa reputación. Este detalle converteu a filtración nunha punto cego para moitas solucións monitorización.
Ademais, a vítima non necesitaba premer nin executar nada específico: simplemente lle pediu ao axente unha busca relacionada co asunto do correo electrónico preparado polo atacante, algo que dificulta a manobra. silencioso e difícil de rastrexar.
Os investigadores salientan que Estamos ante un novo tipo de ameaza no que o propio axente de IA actúa como vector. Mesmo cun impacto práctico limitado, o caso obríganos a revisar como concedemos permisos ás ferramentas automatizadas.
Corrección de erros e recomendacións prácticas
OpenAI implementou mitigacións tras a notificación de Radware e expresou o seu agradecemento polas probas contradictorias, subliñando que estas reforzan continuamente as súas garantías. Ata a data, o provedor afirma que non hai probas de explotación deste vector.
A Investigación Profunda é un axente opcional que só pode conectarse a Gmail co permiso expreso do usuario. Antes de vincular caixas de entrada ou documentos a un asistente, É aconsellable avaliar o alcance real dos permisos e limitar o acceso ao estritamente necesario..
Se vinculaches servizos de Google, acceso de revisión e depuración é sinxelo:
- Vaia a myaccount.google.com/security para abrir o panel de seguridade.
- Na sección de conexións, fai clic en Ver todas as conexións.
- Identifica ChatGPT ou outras aplicacións que non recoñezas e revoga os permisos..
- Elimina os accesos innecesarios e volve conceder só os estritamente necesarios. esencial.
Para usuarios e empresas, É fundamental combinar o sentido común e as medidas técnicas: manter todo actualizado, aplicar o principio de mínimo privilexio aos axentes e conectorese monitorizar a actividade das ferramentas con acceso a datos confidenciais.
En contornas corporativas, os expertos recomendan incorporar controis adicionais para os axentes de IA e, se se emprega Deep Research ou servizos similares, restrinxir as capacidades como abrir ligazóns ou enviar datos a dominios non verificados.
A investigación de Radware e a rápida mitigación de OpenAI deixan unha lección clara: conectar asistentes a Gmail ofrece vantaxes, pero esixe seguridade. avaliar permisos, monitorizar comportamentos e asumir que a inxección de instrucións continuará probando os axentes de IA.
Son un entusiasta da tecnoloxía que converteu os seus intereses "friki" nunha profesión. Levo máis de 10 anos da miña vida empregando tecnoloxía de punta e retocando todo tipo de programas por pura curiosidade. Agora especializeime en tecnoloxía informática e videoxogos. Isto débese a que dende hai máis de 5 anos levo escribindo para diversas webs sobre tecnoloxía e videoxogos, creando artigos que buscan darche a información que necesitas nun idioma comprensible para todos.
Se tes algunha dúbida, os meus coñecementos abarcan dende todo o relacionado co sistema operativo Windows e tamén con Android para teléfonos móbiles. E o meu compromiso é contigo, sempre estou disposto a dedicar uns minutos e axudarche a resolver calquera dúbida que teñas neste mundo de internet.