Pesquisadores de segurança cibernética descobriram um novo ataque chamado AgentFlayer, que explora uma vulnerabilidade no ChatGPT para roubar dados do Google Drive sem o conhecimento do usuário. Os invasores podem injetar comandos ocultos em documentos comuns, forçando a IA a extrair e transmitir informações confidenciais automaticamente.

Fonte da imagem: Solen Feyissa/Unsplash

O AgentFlayer é um ataque cibernético de clique zero. Ele não exige nenhuma ação da vítima além de acessar o documento infectado do Google Drive. Em outras palavras, o usuário não precisa clicar em um link, abrir um arquivo ou realizar qualquer outra ação para ser infectado. O exploit explora uma vulnerabilidade no Connectors, um recurso do ChatGPT que conecta o chatbot a aplicativos externos, incluindo serviços em nuvem como o Google Drive e o Microsoft OneDrive, relata o TechSpot.

O documento malicioso contém uma instrução oculta de 300 palavras em fonte branca de tamanho mínimo, tornando-o invisível para humanos, mas disponível para processamento pelo ChatGPT. O comando instrui a IA a encontrar chaves de API no Google Drive da vítima, adicioná-las a uma URL especial e enviá-las ao servidor externo dos invasores. O ataque é ativado imediatamente após a disponibilização do documento, e os dados são transmitidos na próxima vez que o usuário interagir com o serviço ChatGPT.

Como enfatizou Andy Wen, diretor sênior de segurança do Google Workspace, o ataque não está diretamente relacionado a uma vulnerabilidade na infraestrutura do Google, mas a empresa já está desenvolvendo medidas de proteção adicionais para impedir a execução de instruções ocultas e potencialmente perigosas em seus serviços. A OpenAI, por sua vez, implementou correções após notificar os pesquisadores sobre o problema no início deste ano.

No entanto, especialistas alertam que, apesar da quantidade limitada de dados que podem ser extraídos em uma única solicitação, a ameaça destaca os riscos associados à concessão de acesso não controlado à inteligência artificial a arquivos pessoais e contas na nuvem.

admin

Postagens recentes

Ryzen e Dual-Rank DDR5: Testando o kit G.Skill Trident Z5 Royal DDR5-6400 CL32 de 64 GB / Processadores e Memória

Nos últimos dois anos, a memória RAM passou de um componente secundário para um dos…

4 horas atrás

Jornalistas revelaram a dimensão das futuras demissões na Xbox – até mesmo a Arkane Studios e seu jogo Marvel’s Blade correm o risco de fechar as portas.

O The Verge, citando fontes familiarizadas com os planos da Microsoft, noticiou mais uma possível…

7 horas atrás

Inteligência artificial foi treinada para falar como um homem das cavernas para economizar milhões em tokens.

Desenvolvedores de chatbots começaram a usar amplamente uma ferramenta especializada chamada Caveman, que força a…

7 horas atrás

A Bethesda confirmou a data de lançamento de The Elder Scrolls IV: Oblivion Remastered e como o jogo funcionará no Nintendo Switch 2.

A Bethesda Softworks anunciou a data de lançamento de The Elder Scrolls IV: Oblivion Remastered,…

9 horas atrás