Los investigadores de seguridad de Radware han demostrado cómo engañaron el CHATGPT de OpenAI en la extracción de datos confidenciales de la bandeja de entrada de Gmail de un usuario utilizando una vulnerabilidad que llaman «Fuga de sombras». El ataque, que se reveló esta semana, utilizó una técnica llamada inyección rápida para manipular un agente de IA llamado Deep Research que se le había otorgado acceso a los correos electrónicos del usuario. Todo el ataque tuvo lugar en la infraestructura de la nube de OpenAi, sin pasar por las defensas tradicionales de ciberseguridad. Operai parcheó la vulnerabilidad después de que Radware lo informó en junio.
Cómo funciona el ataque de filtración de sombra
El experimento se dirigió a los agentes de IA, que están diseñados para realizar tareas de forma autónoma en nombre de un usuario, como acceder a cuentas personales como el correo electrónico. En este caso, el agente de investigación profunda, que está integrado en ChatGPT, recibió permiso para interactuar con la cuenta de Gmail de un usuario. Los investigadores elaboraron un correo electrónico que contenía instrucciones maliciosas ocultas como texto blanco invisible sobre un fondo blanco. Este correo electrónico se envió a la bandeja de entrada Gmail del objetivo. Los comandos ocultos permanecieron inactivos hasta que el usuario activó el agente de investigación profunda para una tarea de rutina. Cuando el agente escaneó la bandeja de entrada, encontró la inyección de inmediato y siguió las instrucciones del atacante en lugar del usuario. Luego, el agente procedió a buscar en la bandeja de entrada información confidencial, como correos electrónicos relacionados con recursos humanos y datos personales, y envió esos datos a los investigadores sin el conocimiento del usuario. Los investigadores describieron el proceso de desarrollar el ataque como «una montaña rusa de intentos fallidos, obstáculos frustrantes y, finalmente, un avance».
Un ataque basado en la nube que evita la seguridad tradicional
Un aspecto clave del ataque de fuga de sombras es que funciona completamente en la infraestructura en la nube de OpenAI, no en el dispositivo local del usuario. Esto lo hace indetectable por herramientas de ciberseguridad convencionales como Antivirus Software, que monitorea la computadora o el teléfono de un usuario para actividades maliciosas. Al aprovechar la propia infraestructura de la IA, el ataque puede continuar sin dejar ningún rastro en el final del usuario.
Potencial para una gama más amplia de ataques
La prueba de concepto de Radware también identificó riesgos potenciales para otros servicios que se integran con el agente de investigación profunda. Los investigadores declararon que la misma técnica de inyección rápida podría usarse para dirigir las conexiones con Outlook, GitHub, Google Drive y Dropbox.
«La misma técnica se puede aplicar a estos conectores adicionales para exfiltrar datos comerciales altamente sensibles, como contratos, notas de reuniones o registros de clientes».
La inyección inmediata es una vulnerabilidad conocida que se ha utilizado en varios ataques del mundo real, desde manipular las revisiones académicas de pares hasta tomar el control de dispositivos domésticos inteligentes. Desde entonces, Openai ha parchado la falla específica que permitió el ataque de la fuga de sombras, pero la investigación destaca los desafíos de seguridad en curso que plantea la creciente autonomía de los agentes de IA.
