L'exploit 0-click di AgentFlayer sfrutta i connettori ChatGPT per rubare dati di app di terze parti

AgentFlayer è una vulnerabilità critica nei connettori ChatGPT. Scopri come questo attacco zero-click utilizza l'iniezione indiretta di prompt per rubare segretamente dati sensibili da Google Drive, SharePoint e altre app connesse, senza che tu te ne accorga.

È stata scoperta una nuova falla di sicurezza, denominata AgentFlayer, che dimostra come gli aggressori possano rubare segretamente informazioni personali dagli account connessi degli utenti, come Google Drive , senza che l'utente clicchi mai su nulla. La vulnerabilità è stata scoperta dai ricercatori di sicurezza informatica di Zenity e presentata alla recente conferenza Black Hat.

Secondo la ricerca di Zenity, la falla sfrutta una funzionalità di ChatGPT chiamata "Connettori", che consente all'IA di collegarsi ad applicazioni esterne come Google Drive e SharePoint. Sebbene questa funzionalità sia progettata per essere utile, ad esempio consentendo a ChatGPT di riassumere i documenti dai file aziendali, Zenity ha scoperto che può anche aprire nuove strade agli hacker.

L'attacco AgentFlayer funziona tramite un metodo ingegnoso chiamato iniezione indiretta di prompt . Invece di digitare direttamente un comando dannoso, un aggressore inserisce un'istruzione nascosta in un documento dall'aspetto innocuo. Questo può essere fatto anche con testo scritto in un font minuscolo e invisibile.

Iniezione di prompt invisibile incorporata in un documento. Carattere bianco da 1px (Fonte: Zenity)

L'aggressore attende quindi che un utente carichi questo documento contaminato su ChatGPT. Quando l'utente chiede all'IA di riassumere il documento, le istruzioni nascoste indicano a ChatGPT di ignorare la richiesta dell'utente e di eseguire invece un'azione diversa. Ad esempio, le istruzioni nascoste potrebbero indicare a ChatGPT di cercare informazioni sensibili come le chiavi API nel Google Drive dell'utente.

Chiavi API della vittima (Fonte: Zenity)

Le informazioni rubate vengono quindi inviate all'aggressore in modo incredibilmente subdolo. Le istruzioni dell'aggressore indicano a ChatGPT di creare un'immagine con un link speciale. Quando l'IA visualizza questa immagine, il link invia segretamente i dati rubati a un server controllato dall'aggressore. Tutto questo avviene all'insaputa dell'utente e senza che questi debba cliccare su alcunché.

La ricerca di Zenity evidenzia che, sebbene OpenAI disponga di alcune misure di sicurezza, queste non sono sufficienti a fermare questo tipo di attacco. I ricercatori sono riusciti a bypassare queste misure di sicurezza utilizzando URL di immagini specifici considerati attendibili da ChatGPT.

Questa vulnerabilità fa parte di una più ampia classe di minacce che evidenziano i rischi legati alla connessione di modelli di intelligenza artificiale ad app di terze parti. Itay Ravia , responsabile di Aim Labs, lo ha confermato, affermando che tali vulnerabilità non sono isolate e che è probabile che si verifichino in futuro in prodotti di intelligenza artificiale molto diffusi.

"Come avevamo anticipato nella nostra ricerca originale, EchoLeak (CVE-2025-32711) che Aim Labs ha reso pubblica l'11 giugno, questa classe di vulnerabilità non è isolata, poiché anche altre piattaforme di agenti sono suscettibili " , ha spiegato Ravia.

"L'attacco zero-click di AgentFlayer è un sottoinsieme delle stesse primitive di EchoLeak. Queste vulnerabilità sono intrinseche e ne vedremo sempre di più negli agenti più diffusi a causa di una scarsa comprensione delle dipendenze e della necessità di protezioni", ha commentato Ravia, sottolineando la necessità di misure di sicurezza avanzate per difendersi da questo tipo di sofisticate manipolazioni.