Los hallazgos de Straiker STAR Labs muestran que un nuevo ataque de navegador agente tiene como objetivo el navegador Comet de Perplexity y es capaz de convertir un correo electrónico aparentemente inofensivo en una acción destructiva que elimina todo el contenido de Google Drive de un usuario.
La tecnología de cero clic de Google Drive Wiper se basa en conectar el navegador a servicios como Gmail y Google Drive para automatizar tareas rutinarias otorgándoles acceso para leer correos electrónicos, explorar archivos y carpetas y realizar acciones como mover, cambiar el nombre o eliminar contenido.
Por ejemplo, una solicitud emitida por un usuario inofensivo podría verse así: “Revise mi correo electrónico y complete cualquiera de las tareas recientes de mi organización”. Esto hace que el agente del navegador escanee la bandeja de entrada en busca de mensajes relevantes y tome las acciones necesarias.
“Este comportamiento refleja una agencia excesiva en los asistentes impulsados por LLM, donde el LLM realiza acciones mucho más allá de la solicitud explícita del usuario”, dijo la investigadora de seguridad Amanda Rousseau en un informe proporcionado a The Hacker News.
Un atacante puede aprovechar este comportamiento del agente del navegador para enviar un correo electrónico especialmente diseñado que contenga instrucciones en lenguaje natural para organizar la unidad del destinatario como parte de una tarea de limpieza regular, eliminar archivos con extensiones específicas o archivos que no están en una carpeta y verificar los cambios.
Debido a que el agente interpreta el mensaje de correo electrónico como una limpieza de rutina, considera que las instrucciones son legítimas y elimina archivos de usuarios reales de Google Drive sin requerir la confirmación del usuario.
“El resultado: un limpiador impulsado por un agente de navegador que elimina contenido crítico a escala, activado por una solicitud en lenguaje natural del usuario”, dijo Rousseau. “Una vez que un agente tiene acceso OAuth a Gmail y Google Drive, las instrucciones abusivas pueden difundirse rápidamente entre carpetas compartidas y unidades de equipo”.
Lo que tiene de especial este ataque es que no depende de un jailbreak o una inyección instantánea. Más bien, logra su objetivo simplemente siendo cortés, dando instrucciones secuenciales y usando frases como “ocúpate de ello”, “ocúpate de ello” y “haz esto en mi nombre”, transfiriendo así la responsabilidad al agente.
En otras palabras, el ataque ilustra cómo la secuenciación y el tono pueden engañar al modelo de lenguaje grande (LLM) para que siga instrucciones maliciosas sin molestarse en verificar que cada uno de esos pasos sea realmente seguro.
Para abordar los riesgos que plantea la amenaza, se recomienda tomar medidas para proteger no solo el modelo, sino también el agente, sus conectores y las instrucciones en lenguaje natural que sigue.
“Los asistentes del navegador de agentes convierten las indicaciones cotidianas en secuencias de acciones poderosas en Gmail y Google Drive”, dijo Rousseau. “Cuando estas acciones son provocadas por contenido no confiable (particularmente correos electrónicos educados y bien estructurados), las organizaciones heredan una nueva clase de riesgos de robo de datos sin hacer clic”.
HashJack utiliza fragmentos de URL para inyección inmediata indirecta
La revelación se produce cuando Cato Networks demostró otro ataque dirigido a navegadores de inteligencia artificial (IA) que oculta mensajes fraudulentos después del símbolo “#” en URL legítimas (por ejemplo, “www.example(.)com/home#).
Para desencadenar el ataque del lado del cliente, un actor de amenazas puede compartir una URL especialmente diseñada por correo electrónico, redes sociales o incrustándola directamente en una página web. Una vez que la víctima carga la página y le hace una pregunta relevante al navegador de IA, este ejecuta el mensaje oculto.
“HashJack es la primera inyección indirecta conocida que cualquier sitio web legítimo puede utilizar para manipular los asistentes de navegador de IA”, dijo el investigador de seguridad Vitaly Simonovich. “Debido a que el fragmento malicioso está incrustado en la URL de un sitio web real, los usuarios asumen que el contenido es seguro, mientras que las instrucciones ocultas manipulan en secreto el asistente del navegador AI”.
Después de una divulgación responsable, Google clasificó el problema como “irresoluble (comportamiento previsto)” y de baja gravedad, mientras que Perplexity y Microsoft lanzaron parches para sus respectivos navegadores de IA (Comet v142.0.7444.60 y Edge 142.0.3595.94). Se ha descubierto que Claude para Chrome y OpenAI Atlas es inmune a HashJack.
Vale la pena señalar que Google no trata la creación de contenido que viole las políticas y eludir las barreras de seguridad como vulnerabilidades de seguridad según su Programa de recompensa por vulnerabilidad de IA (AI VRP).
About The Author
