Pesquisadores de segurança cibernética descobriram um novo ataque chamado AgentFlayer, que explora uma vulnerabilidade no ChatGPT para roubar dados do Google Drive sem o conhecimento do usuário. Os invasores podem injetar comandos ocultos em documentos comuns, forçando a IA a extrair e transmitir informações confidenciais automaticamente.
Fonte da imagem: Solen Feyissa/Unsplash
O AgentFlayer é um ataque cibernético de clique zero. Ele não exige nenhuma ação da vítima além de acessar o documento infectado do Google Drive. Em outras palavras, o usuário não precisa clicar em um link, abrir um arquivo ou realizar qualquer outra ação para ser infectado. O exploit explora uma vulnerabilidade no Connectors, um recurso do ChatGPT que conecta o chatbot a aplicativos externos, incluindo serviços em nuvem como o Google Drive e o Microsoft OneDrive, relata o TechSpot.
O documento malicioso contém uma instrução oculta de 300 palavras em fonte branca de tamanho mínimo, tornando-o invisível para humanos, mas disponível para processamento pelo ChatGPT. O comando instrui a IA a encontrar chaves de API no Google Drive da vítima, adicioná-las a uma URL especial e enviá-las ao servidor externo dos invasores. O ataque é ativado imediatamente após a disponibilização do documento, e os dados são transmitidos na próxima vez que o usuário interagir com o serviço ChatGPT.
Como enfatizou Andy Wen, diretor sênior de segurança do Google Workspace, o ataque não está diretamente relacionado a uma vulnerabilidade na infraestrutura do Google, mas a empresa já está desenvolvendo medidas de proteção adicionais para impedir a execução de instruções ocultas e potencialmente perigosas em seus serviços. A OpenAI, por sua vez, implementou correções após notificar os pesquisadores sobre o problema no início deste ano.
No entanto, especialistas alertam que, apesar da quantidade limitada de dados que podem ser extraídos em uma única solicitação, a ameaça destaca os riscos associados à concessão de acesso não controlado à inteligência artificial a arquivos pessoais e contas na nuvem.
Enquanto alguns fãs estão recriando The Elder Scrolls III: Morrowind no motor Skyrim, outros estão…
O estúdio japonês Kojima Productions, fundado no final de 2015 pelo renomado designer de jogos…
A Apple deve lançar o primeiro iPhone com tela flexível, possivelmente chamado de iPhone Fold,…
Análise do modo ranqueado de Warface: fácil de pegar o jeito, difícil de largar
Embora o suporte de conteúdo para o RPG de ação cyberpunk em primeira pessoa Cyberpunk…
Parece difícil imaginar algo mais elementar do ponto de vista do usuário do que escolher…