Un nuevo ataque de navegador agente dirigido al navegador Comet de Perplexity es capaz de convertir un correo electrónico aparentemente inofensivo en una acción destructiva que borra todo el contenido de Google Drive de un usuario, según muestran los hallazgos de Straiker STAR Labs.
La técnica Google Drive Wiper sin hacer clic depende de conectar el navegador a servicios como Gmail y Google Drive para automatizar tareas rutinarias otorgándoles acceso para leer correos electrónicos, así como explorar archivos y carpetas, y realizar acciones como mover, cambiar el nombre o eliminar contenido.
Por ejemplo, un mensaje emitido por un usuario benigno podría verse así: «Revise mi correo electrónico y complete todas las tareas recientes de mi organización». Esto hará que el agente del navegador busque mensajes relevantes en la bandeja de entrada y realice las acciones necesarias.
«Este comportamiento refleja una agencia excesiva en los asistentes con tecnología LLM, donde el LLM realiza acciones que van mucho más allá de la solicitud explícita del usuario», dijo la investigadora de seguridad Amanda Rousseau en un informe compartido con The Hacker News.
Un atacante puede utilizar este comportamiento del agente del navegador como arma para enviar un correo electrónico especialmente diseñado que incluya instrucciones en lenguaje natural para organizar la unidad Drive del destinatario como parte de una tarea de limpieza regular, eliminar archivos que coincidan con ciertas extensiones o archivos que no estén dentro de ninguna carpeta y revisar los cambios.
Dado que el agente interpreta el mensaje de correo electrónico como una limpieza de rutina, trata las instrucciones como legítimas y elimina archivos de usuarios reales de Google Drive sin requerir ninguna confirmación del usuario.
«El resultado: un limpiador impulsado por un agente de navegador que mueve contenido crítico a la papelera a escala, activado por una solicitud en lenguaje natural del usuario», dijo Rousseau. «Una vez que un agente tiene acceso OAuth a Gmail y Google Drive, las instrucciones abusadas pueden propagarse rápidamente a través de carpetas compartidas y unidades de equipo».
Lo notable de este ataque es que no depende de un jailbreak ni de una inyección rápida. Más bien, logra su objetivo simplemente siendo cortés, brindando instrucciones secuenciales y usando frases como «cuidar de», «manejar esto» y «hacer esto en mi nombre», que transfieren la propiedad al agente.
En otras palabras, el ataque resalta cómo la secuenciación y el tono pueden empujar al modelo de lenguaje grande (LLM) a cumplir instrucciones maliciosas sin siquiera molestarse en comprobar si cada uno de esos pasos es realmente seguro.
Para contrarrestar los riesgos que plantea la amenaza, se recomienda tomar medidas para proteger no solo el modelo, sino también el agente, sus conectores y las instrucciones en lenguaje natural que sigue.
«Los asistentes de navegador agentes convierten las indicaciones cotidianas en secuencias de acciones poderosas en Gmail y Google Drive», dijo Rousseau. «Cuando esas acciones están impulsadas por contenido que no es de confianza (especialmente correos electrónicos educados y bien estructurados), las organizaciones heredan una nueva clase de riesgo de eliminación de datos sin hacer clic».
HashJack explota fragmentos de URL para inyección inmediata indirecta
La divulgación se produce cuando Cato Networks demostró otro ataque dirigido a navegadores con inteligencia artificial (IA) que oculta mensajes falsos después del símbolo «#» en URL legítimas (por ejemplo, «www.example(.)com/home#
Para desencadenar el ataque del lado del cliente, un actor de amenazas puede compartir una URL especialmente diseñada por correo electrónico, redes sociales o incrustándola directamente en una página web. Una vez que la víctima carga la página y le hace una pregunta relevante al navegador de IA, ejecuta el mensaje oculto.
«HashJack es la primera inyección indirecta conocida que puede convertir en arma cualquier sitio web legítimo para manipular asistentes de navegador de IA», dijo el investigador de seguridad Vitaly Simonovich. «Debido a que el fragmento malicioso está incrustado en la URL de un sitio web real, los usuarios asumen que el contenido es seguro mientras que instrucciones ocultas manipulan en secreto el asistente del navegador AI».
Tras una divulgación responsable, Google lo clasificó como «no solucionará (comportamiento previsto)» y de baja gravedad, mientras que Perplexity y Microsoft han lanzado parches para sus respectivos navegadores de IA (Comet v142.0.7444.60 y Edge 142.0.3595.94). Se ha descubierto que Claude para Chrome y OpenAI Atlas es inmune a HashJack.
Vale la pena señalar que Google no trata la generación de contenido que viola las políticas ni las evasiones de barreras de seguridad como vulnerabilidades de seguridad bajo su Programa de recompensa por vulnerabilidad de IA (AI VRP).
