Un nuevo ataque de navegador agente dirigido al navegador Comet de Perplexity es capaz de convertir un correo electrónico aparentemente inofensivo en una hecho destructiva que sedimento todo el contenido de Google Drive de un favorecido, según muestran los hallazgos de Straiker STAR Labs.
La técnica Google Drive Wiper sin hacer clic depende de conectar el navegador a servicios como Gmail y Google Drive para automatizar tareas rutinarias otorgándoles paso para descubrir correos electrónicos, así como explorar archivos y carpetas, y realizar acciones como mover, cambiar el nombre o eliminar contenido.
Por ejemplo, un mensaje emitido por un favorecido bienintencionado podría estar así: “Revise mi correo electrónico y complete todas las tareas recientes de mi ordenamiento”. Esto hará que el agente del navegador busque mensajes relevantes en la bandeja de entrada y realice las acciones necesarias.
“Este comportamiento refleja una agencia excesiva en los asistentes con tecnología LLM, donde el LLM realiza acciones que van mucho más allá de la solicitud explícita del favorecido”, dijo la investigadora de seguridad Amanda Rousseau en un noticia compartido con The Hacker News.
Un atacante puede utilizar este comportamiento del agente del navegador como pertrechos para despachar un correo electrónico especialmente diseñado que incluya instrucciones en lengua natural para organizar la mecanismo Drive del destinatario como parte de una tarea de exactitud regular, eliminar archivos que coincidan con ciertas extensiones o archivos que no estén internamente de ninguna carpeta y revisar los cambios.
Cubo que el agente interpreta el mensaje de correo electrónico como una exactitud de rutina, tráfico las instrucciones como legítimas y elimina archivos de usuarios reales de Google Drive sin requerir ninguna confirmación del favorecido.
“El resultado: un detergente impulsado por un agente de navegador que mueve contenido crítico a la papelera a escalera, activado por una solicitud en lengua natural del favorecido”, dijo Rousseau. “Una vez que un agente tiene paso OAuth a Gmail y Google Drive, las instrucciones abusadas pueden propagarse rápidamente a través de carpetas compartidas y unidades de equipo”.
Lo extraordinario de este ataque es que no depende de un jailbreak ni de una inyección inmediata. Más aceptablemente, logra su objetivo simplemente siendo cortés, brindando instrucciones secuenciales y usando frases como “cuidar de”, “manejar esto” y “hacer esto en mi nombre”, que transfieren la propiedad al agente.
En otras palabras, el ataque resalta cómo la secuenciación y el tono pueden empujar al maniquí de lengua sobresaliente (LLM) a cumplir instrucciones maliciosas sin siquiera molestarse en comprobar si cada uno de esos pasos es verdaderamente seguro.
Para contrarrestar los riesgos que plantea la amenaza, se recomienda tomar medidas para proteger no solo el maniquí, sino además el agente, sus conectores y las instrucciones en lengua natural que sigue.
“Los asistentes de navegador agentes convierten las indicaciones cotidianas en secuencias de acciones poderosas en Gmail y Google Drive”, dijo Rousseau. “Cuando esas acciones están impulsadas por contenido que no es de confianza (especialmente correos electrónicos educados y aceptablemente estructurados), las organizaciones heredan una nueva clase de peligro de exterminio de datos sin hacer clic”.
HashJack explota fragmentos de URL para inyección inmediata indirecta
La divulgación se produce cuando Cato Networks demostró otro ataque dirigido a navegadores con inteligencia químico (IA) que oculta mensajes falsos a posteriori del símbolo “#” en URL legítimas (por ejemplo, “www.example(.)com/home#
Para desencadenar el ataque del costado del cliente, un actor de amenazas puede compartir una URL especialmente diseñada por correo electrónico, redes sociales o incrustándola directamente en una página web. Una vez que la víctima carga la página y le hace una pregunta relevante al navegador de IA, ejecuta el mensaje oculto.
“HashJack es la primera inyección indirecta conocida que puede convertir en pertrechos cualquier sitio web razonable para manipular asistentes de navegador de IA”, dijo el investigador de seguridad Vitaly Simonovich. “Correcto a que el fragmento solapado está incrustado en la URL de un sitio web actual, los usuarios asumen que el contenido es seguro mientras que instrucciones ocultas manipulan en secreto el asistente del navegador AI”.
Tras una divulgación responsable, Google lo clasificó como “no solucionará (comportamiento previsto)” y de herido recaída, mientras que Perplexity y Microsoft han emprendedor parches para sus respectivos navegadores de IA (Comet v142.0.7444.60 y Edge 142.0.3595.94). Se ha descubierto que Claude para Chrome y OpenAI Atlas es inmune a HashJack.
Vale la pena señalar que Google no tráfico la concepción de contenido que viola las políticas ni las evasiones de barreras de seguridad como vulnerabilidades de seguridad bajo su Software de galardón por vulnerabilidad de IA (AI VRP).
