Un nuevo ataque de navegador agencial dirigido a Perplexity Navegador Comet que es capaz de convertir un correo electrónico aparentemente inocuo en una acción destructiva que borra todo el contenido de Google Drive de un usuario, según muestran los hallazgos de Straiker STAR Labs.
La técnica de borrar Google Drive con cero clics consiste en conectar el navegador a servicios como Gmail y Google Drive para automatizar las tareas rutinarias al permitirles leer correos electrónicos, explorar archivos y carpetas y realizar acciones como mover, cambiar el nombre o eliminar contenido.
Por ejemplo, un mensaje emitido por un usuario benigno podría tener el siguiente aspecto: «Compruebe mi correo electrónico y complete todas las tareas recientes de mi organización». Esto hará que el agente del navegador busque en la bandeja de entrada los mensajes relevantes y lleve a cabo las acciones necesarias.
«Este comportamiento refleja el exceso de agencia de los asistentes impulsados por LLM, donde el LLM realiza acciones que van mucho más allá de la solicitud explícita del usuario», dijo Amanda Rousseau, investigadora de seguridad dijo en un informe compartido con The Hacker News.
Un atacante puede utilizar como arma este comportamiento del agente de navegador para enviar un correo electrónico especialmente diseñado que incorpore instrucciones en lenguaje natural para organizar la unidad de disco del destinatario como parte de una tarea de limpieza normal, eliminar archivos que coincidan con determinadas extensiones o archivos que no estén dentro de ninguna carpeta y revisar los cambios.
Dado que el agente interpreta el mensaje de correo electrónico como una limpieza rutinaria, considera que las instrucciones son legítimas y elimina los archivos de usuario reales de Google Drive sin necesidad de confirmación por parte del usuario.
«El resultado: un limpiador controlado por un agente de navegación que mueve el contenido crítico a la basura a gran escala, activado por una solicitud del usuario en lenguaje natural», afirma Rousseau. «Una vez que un agente tiene acceso mediante OAuth a Gmail y Google Drive, las instrucciones mal utilizadas pueden propagarse rápidamente entre las carpetas compartidas y las unidades de equipo».
Lo destacable de este ataque es que no se basa en un jailbreak ni en una inyección inmediata. Más bien, logra su objetivo simplemente siendo cortés, proporcionando instrucciones secuenciales y utilizando frases como «ocúpate», «encárgate de esto» y «hazlo en mi nombre», que transfieren la propiedad al agente.
En otras palabras, el ataque pone de relieve cómo la secuenciación y el tono pueden empujar al modelo de lenguaje grande (LLM) a cumplir con instrucciones maliciosas sin siquiera molestarse en comprobar si cada uno de esos pasos es realmente seguro.
Para contrarrestar los riesgos que plantea la amenaza, se recomienda tomar medidas para proteger no solo el modelo, sino también el agente, sus conectores y las instrucciones en lenguaje natural que sigue.
«Los asistentes de navegador de Agentic convierten las instrucciones diarias en secuencias de acciones poderosas en Gmail y Google Drive», afirma Rousseau. «Cuando esas acciones están impulsadas por contenido que no es de confianza (especialmente correos electrónicos educados y bien estructurados), las organizaciones heredan una nueva clase de riesgo de borrar datos sin hacer clic».
HashJack explota fragmentos de URL para la inyección inmediata indirecta
La revelación se produce cuando Cato Networks demostró otro ataque dirigido a navegadores basados en inteligencia artificial (IA) que oculta las indicaciones falsas después del símbolo «#» en las URL legítimas (por ejemplo, «www.example [.] com/home#»<prompt>) para engañar a los agentes para que las ejecuten. La técnica se ha denominado HashJack.
Para desencadenar el ataque del lado del cliente, un actor de amenazas puede compartir una URL especialmente diseñada por correo electrónico, redes sociales o incrustándola directamente en una página web. Una vez que la víctima carga la página y hace una pregunta relevante al navegador de IA, este ejecuta el mensaje oculto.
«HashJack es la primera inyección rápida indirecta conocida que puede convertir en arma cualquier sitio web legítimo para manipular los asistentes de navegación de IA», dijo el investigador de seguridad Vitaly Simonovich dijo . «Como el fragmento malicioso está incrustado en la URL de un sitio web real, los usuarios asumen que el contenido es seguro, mientras que las instrucciones ocultas manipulan en secreto el asistente de navegador de IA».
Tras la divulgación responsable, Google lo clasificó como «no lo solucionará (comportamiento previsto)» y de gravedad baja, mientras que Perplexity y Microsoft han publicado parches para sus respectivos navegadores de IA (Comet v142.0.7444.60 y Edge 142.0.3595.94). Se ha descubierto que Claude para Chrome y OpenAI Atlas es inmune a HashJack.
Vale la pena señalar que Google no trata La generación de contenido que infringe las políticas y las elusiones de protección como vulnerabilidades de seguridad en virtud de su Programa de recompensas por vulnerabilidades de IA (AI VRP).