Michael Bargury y Tamir Ishay Sharbat, especialistas en ciberseguridad de la empresa Zenity, demostraron en la conferencia Black Hat de Las Vegas una vulnerabilidad crítica que permite extraer datos privados de usuarios de ChatGPT sin requerir ninguna acción por su parte. La técnica, bautizada AgentFlayer, aprovecha la función Connectors de OpenAI para acceder a información sensible almacenada en servicios como Google Drive, Gmail o repositorios de GitHub.
El hallazgo evidenció que basta un único documento "envenenado" para comprometer la seguridad de los usuarios que conectan ChatGPT a sus servicios externos. Durante la demostración, los investigadores lograron extraer claves API de desarrolladores y otros datos confidenciales utilizando una técnica conocida como inyección indirecta, sin que la víctima realizara ninguna acción específica.
"No hay nada que el usuario tenga que hacer para verse comprometido, y no hay nada que el usuario tenga que hacer para que los datos salgan. Solo necesitamos tu correo electrónico, compartimos el documento contigo, y eso es todo. Es completamente zero-click", explicó Bargury a la revista WIRED.
Cómo funciona el ataque silencioso
El proceso comienza con un documento aparentemente inofensivo que puede ser compartido con la víctima o subido por ella misma a su cuenta personal. En el caso de la demostración, el archivo simulaba ser un conjunto de notas de una reunión ficticia con Sam Altman, CEO de OpenAI. Sin embargo, contenía un mensaje oculto de 300 palabras con instrucciones específicas para ChatGPT.
Este texto malicioso estaba escrito en color blanco y con tipografía diminuta, invisible para el ojo humano pero perfectamente legible para el modelo de inteligencia artificial. Cuando la víctima solicitaba a ChatGPT que "resumiera la última reunión con Sam", el sistema no generaba un resumen real, sino que seguía las instrucciones ocultas: buscar claves API en Google Drive y adjuntarlas al final de una URL incluida en el mensaje.
La URL estaba camuflada como una imagen en formato Markdown y se conectaba a un servidor controlado por los atacantes. Al cargar la imagen, el sistema enviaba automáticamente las claves encontradas a los ciberdelincuentes, completando el robo de información sin dejar rastros visibles para el usuario.
Los investigadores lograron evadir las protecciones existentes de OpenAI utilizando direcciones del servicio Azure Blob Storage de Microsoft, lo que permitió que la imagen se mostrara y que los datos fueran registrados en su sistema de análisis.
vulnerabilidad-office-780x470
Respuesta de las empresas y alcance del problema
Andy Wen, director sénior de gestión de productos de seguridad en Google Workspace, advirtió que este caso ilustra la necesidad de desarrollar protecciones sólidas contra ataques de inyección, recordando que Google ha reforzado sus medidas de seguridad basadas en inteligencia artificial.
OpenAI fue notificada a principios de este año y aplicó mitigaciones rápidas para frenar esta técnica específica. Según Bargury, las medidas implementadas limitaron la cantidad de información que se puede extraer en cada intento, impidiendo la descarga de documentos completos. No obstante, la naturaleza del ataque permite seguir accediendo a fragmentos de información sensible.
La vulnerabilidad no es específica de Google Drive. Los expertos advierten que cualquier servicio conectado a ChatGPT mediante Connectors podría ser susceptible a ataques similares, incluyendo Gmail, GitHub y calendarios corporativos.
En experimentos recientes, las inyecciones indirectas han demostrado capacidad para controlar dispositivos del hogar inteligente, encendiendo luces o manipulando sistemas de calefacción a distancia. Los especialistas anticipan que, a medida que más servicios se integren con modelos como ChatGPT, aumentará la probabilidad de que datos "no fiables" se infiltren en los sistemas y activen comportamientos maliciosos.
Además, el acceso a información sensible en un servicio podría abrir la puerta para comprometer otros sistemas interconectados de una organización, amplificando el impacto potencial de estos ataques.
Bargury reconoce que vincular modelos de IA a fuentes externas de datos los hace más útiles y versátiles, pero insiste en que eso implica mayores desafíos de seguridad. "Es increíblemente potente, pero como suele ocurrir con la IA, más potencia conlleva más riesgo", concluyó el investigador.
