El exploit de 0 clics de AgentFlayer abusa de los conectores ChatGPT para robar datos de aplicaciones de terceros

AgentFlayer es una vulnerabilidad crítica en los conectores ChatGPT. Descubre cómo este ataque sin clic utiliza la inyección indirecta de mensajes para robar en secreto datos confidenciales de tus aplicaciones de Google Drive, SharePoint y otras conectadas, sin que lo sepas.

Se ha revelado una nueva falla de seguridad, denominada AgentFlayer, que demuestra cómo los atacantes pueden robar en secreto información personal de las cuentas conectadas de los usuarios, como Google Drive , sin que estos hagan clic en ningún elemento. La vulnerabilidad fue descubierta por investigadores de ciberseguridad de Zenity y presentada en la reciente conferencia Black Hat.

Según la investigación de Zenity, la falla se aprovecha de una función de ChatGPT llamada Conectores, que permite a la IA vincularse con aplicaciones externas como Google Drive y SharePoint. Si bien esta función está diseñada para ser útil, por ejemplo, al permitir que ChatGPT resuma documentos de los archivos de la empresa, Zenity descubrió que también puede abrir una nueva vía para los hackers.

El ataque AgentFlayer funciona mediante un método ingenioso llamado inyección indirecta de mensajes . En lugar de escribir directamente un comando malicioso, el atacante incrusta una instrucción oculta en un documento de apariencia inofensiva. Esto incluso podría hacerse con texto en una fuente diminuta e invisible.

El atacante espera a que un usuario suba este documento envenenado a ChatGPT. Cuando el usuario solicita a la IA que resuma el documento, las instrucciones ocultas indican a ChatGPT que ignore la solicitud y realice otra acción. Por ejemplo, las instrucciones ocultas podrían indicarle a ChatGPT que busque información confidencial, como claves API , en Google Drive del usuario.

La información robada se envía al atacante de forma increíblemente sutil. Las instrucciones del atacante indican a ChatGPT que cree una imagen con un enlace especial. Cuando la IA muestra esta imagen, el enlace envía secretamente los datos robados a un servidor controlado por el atacante. Todo esto ocurre sin que el usuario lo sepa y sin que tenga que hacer clic en ningún sitio.

La investigación de Zenity señala que, si bien OpenAI cuenta con algunas medidas de seguridad, estas no son suficientes para detener este tipo de ataque. Los investigadores lograron eludir estas medidas de seguridad mediante el uso de URL de imágenes específicas en las que ChatGPT confiaba.

Esta vulnerabilidad forma parte de una clase más amplia de amenazas que muestran los riesgos de conectar modelos de IA a aplicaciones de terceros. Itay Ravia , director de Aim Labs, lo confirmó, afirmando que estas vulnerabilidades no son aisladas y que probablemente aparecerán más en productos de IA populares.

“Como advertimos con nuestra investigación original, EchoLeak (CVE-2025-32711) que Aim Labs divulgó públicamente el 11 de junio, esta clase de vulnerabilidad no es aislada, ya que otras plataformas de agentes también son susceptibles ” , explicó Ravia.

“El ataque de clic cero de AgentFlayer es un subconjunto de las mismas primitivas de EchoLeak. Estas vulnerabilidades son intrínsecas, y las veremos con más frecuencia en agentes populares debido a la falta de comprensión de las dependencias y la necesidad de medidas de seguridad”, comentó Ravia, enfatizando que se necesitan medidas de seguridad avanzadas para defenderse de este tipo de manipulaciones sofisticadas.