Eksploit AgentFlayer 0-click wykorzystuje łączniki ChatGPT do kradzieży danych aplikacji innych firm

AgentFlayer to krytyczna luka w zabezpieczeniach łączników ChatGPT. Dowiedz się, jak ten atak typu zero-click wykorzystuje pośrednie wstrzyknięcie monitu, aby potajemnie wykraść poufne dane z połączonego Dysku Google, programu SharePoint i innych aplikacji bez Twojej wiedzy.

Ujawniono nową lukę w zabezpieczeniach, nazwaną AgentFlayer, która pokazuje, jak atakujący mogą potajemnie kraść dane osobowe z powiązanych kont użytkowników, takich jak Dysk Google , bez konieczności klikania przez użytkownika. Luka została odkryta przez badaczy cyberbezpieczeństwa z Zenity i zaprezentowana na niedawnej konferencji Black Hat.

Według badań Zenity, luka wykorzystuje funkcję ChatGPT o nazwie „Connectors”, która umożliwia sztucznej inteligencji łączenie się z aplikacjami zewnętrznymi, takimi jak Google Drive i SharePoint. Chociaż funkcja ta ma być pomocna, na przykład umożliwiając ChatGPT streszczanie dokumentów z plików firmowych, Zenity odkryło, że może ona również otwierać nowe możliwości hakerom.

Atak AgentFlayer działa za pomocą sprytnej metody zwanej pośrednim wstrzykiwaniem komunikatów (indirect prompt injection) . Zamiast bezpośrednio wpisywać złośliwe polecenie, atakujący osadza ukrytą instrukcję w nieszkodliwie wyglądającym dokumencie. Można to zrobić nawet za pomocą tekstu napisanego małą, niewidoczną czcionką.

Następnie atakujący czeka, aż użytkownik prześle ten zatruty dokument do ChatGPT. Gdy użytkownik poprosi sztuczną inteligencję o podsumowanie dokumentu, ukryte instrukcje nakazują ChatGPT zignorowanie prośby użytkownika i wykonanie innej czynności. Na przykład, ukryte instrukcje mogą nakazać ChatGPT przeszukanie Dysku Google użytkownika w poszukiwaniu poufnych informacji, takich jak klucze API .

Skradzione informacje są następnie przesyłane atakującemu w niezwykle subtelny sposób. Instrukcje atakującego nakazują ChatGPT utworzenie obrazu ze specjalnym linkiem. Gdy sztuczna inteligencja wyświetla ten obraz, link potajemnie wysyła skradzione dane na serwer kontrolowany przez atakującego. Wszystko to dzieje się bez wiedzy użytkownika i bez konieczności klikania w cokolwiek.

Badania Zenity wskazują, że chociaż OpenAI ma pewne zabezpieczenia, nie są one wystarczające, aby powstrzymać tego typu ataki. Badaczom udało się ominąć te zabezpieczenia, używając konkretnych adresów URL obrazów, którym ChatGPT ufał.

Ta luka w zabezpieczeniach wpisuje się w szerszą grupę zagrożeń, które wskazują na ryzyko związane z łączeniem modeli sztucznej inteligencji z aplikacjami innych firm. Itay Ravia , dyrektor Aim Labs, potwierdził to, stwierdzając, że takie luki nie są odosobnione i że prawdopodobnie pojawi się ich więcej w popularnych produktach AI.

„Jak ostrzegaliśmy w naszym pierwotnym badaniu EchoLeak (CVE-2025-32711) , które Aim Labs ujawniło publicznie 11 czerwca, ta klasa podatności nie jest odosobniona, na którą podatne są również inne platformy agentów ” – wyjaśnił Ravia.

„Atak typu zero-click na AgentFlayer jest podzbiorem tych samych prymitywów EchoLeak. Te luki są nieodłączne i będziemy ich częściej spotykać w popularnych agentach ze względu na słabe zrozumienie zależności i potrzebę stosowania zabezpieczeń” – skomentował Ravia, podkreślając, że do obrony przed tego typu wyrafinowanymi manipulacjami potrzebne są zaawansowane środki bezpieczeństwa.