Nuevo ataque de navegador de agente dirigido al navegador Comet de Perplexity. Un correo electrónico aparentemente inofensivo puede convertirse en una acción destructiva que borra todo el contenido de Google Drive de un usuario, según revela una investigación de Striker STAR Labs.
La tecnología de limpieza de Google Drive sin hacer clic tiene como objetivo automatizar las tareas cotidianas conectando su navegador a servicios como Gmail y Google Drive, dándoles acceso para leer correos electrónicos, explorar archivos y carpetas, y realizar acciones como mover, cambiar el nombre y eliminar contenido.
Por ejemplo, un mensaje emitido por un usuario benigno podría verse así: «Revise su correo electrónico y complete las tareas organizativas recientes». Esto hará que el agente del navegador busque en su bandeja de entrada mensajes relevantes y tome las medidas necesarias.
«Este comportamiento refleja la excesiva autonomía del asistente impulsado por LLM, donde el LLM realiza acciones mucho más allá de las solicitudes explícitas del usuario», dijo la investigadora de seguridad Amanda Rousseau en un informe compartido con Hacker News.
Un atacante podría utilizar este comportamiento del agente del navegador como arma para limpiar el disco de un destinatario como parte de sus tareas de limpieza normales, eliminar archivos que coincidan con una extensión específica o que no estén en una carpeta y enviar un correo electrónico especialmente diseñado con instrucciones integradas en lenguaje natural para confirmar los cambios.
Si el agente interpreta el mensaje de correo electrónico como una limpieza de rutina, trata las instrucciones como legítimas y elimina los archivos del usuario real de Google Drive sin requerir la confirmación del usuario.
«El resultado es un limpiador impulsado por un agente del navegador que elimina contenido importante a escala, activado por una única solicitud en lenguaje natural del usuario», dijo Rousseau. «Una vez que los agentes tienen acceso OAuth a Gmail o Google Drive, las instrucciones explotadas pueden difundirse rápidamente entre carpetas compartidas y unidades de equipo».
Lo notable de este ataque es que no depende ni de un jailbreak ni de una inyección instantánea. Más bien, se logra ese objetivo simplemente siendo cortés, dando instrucciones a su vez y usando frases como «cuídame», «maneja esto» y «haz esto por mí», que transfieren la propiedad al agente.
En otras palabras, este ataque destaca cómo las secuencias y los tonos pueden guiar a los modelos de lenguaje a gran escala (LLM) a seguir instrucciones maliciosas sin molestarse en comprobar si cada paso es realmente seguro.
Para contrarrestar los riesgos que plantean las amenazas, recomendamos tomar medidas para proteger no solo sus modelos, sino también a sus agentes, sus conectores y las instrucciones en lenguaje natural que siguen.
«Agentic Browser Assistant convierte las indicaciones cotidianas en una serie de acciones poderosas en Gmail y Google Drive», dijo Rousseau. «Cuando estas acciones son provocadas por contenido que no es de confianza (particularmente correos electrónicos educados y bien estructurados), las organizaciones heredan una nueva clase de riesgos de eliminación de datos sin hacer clic».
HashJack explota fragmentos de URL para realizar una inyección indirecta
La divulgación se produce cuando Cato Networks ha demostrado otro ataque a los navegadores que aprovecha la inteligencia artificial (IA). El ataque implicó ocultar un mensaje malicioso después del símbolo «#» en una URL legítima (por ejemplo, «www.example(.)com/home#») para engañar al agente para que ejecutara el ataque. Esta técnica se llama hashjacking.
Para lanzar ataques del lado del cliente, los actores de amenazas pueden compartir estas URL especialmente diseñadas por correo electrónico, redes sociales o incrustándolas directamente en páginas web. Cuando una víctima carga una página y hace una pregunta relevante al navegador de IA, se ejecuta un mensaje oculto.
«HashJack es la primera inyección indirecta conocida que puede convertir en armas sitios web legítimos para manipular un asistente de navegador de inteligencia artificial», dijo el investigador de seguridad Vitaly Simonovich. «El fragmento malicioso está incrustado en la URL real del sitio web, por lo que el usuario cree que el contenido es seguro y las instrucciones ocultas manipulan de forma encubierta el asistente del navegador AI».
Tras una divulgación responsable, Google clasificó el problema como de baja gravedad con «[comportamiento previsto]no solucionado», mientras que Perplexity y Microsoft lanzaron parches para sus respectivos navegadores de IA (Comet v142.0.7444.60 y Edge 142.0.3595.94). Se sabe que HashJack no afecta a Claude para Chrome y OpenAI Atlas.
Vale la pena señalar que Google no trata la generación de contenido que viole sus políticas o que eluda las barreras de seguridad como vulnerabilidades de seguridad según su Programa de recompensas por vulnerabilidad de IA (AI VRP).
Source link
