ShadowLeak: Fuga de correos electrónicos de Gmail mediante ChatGPT

Expertos en Radware han descrito un nuevo ataque de inyección indirecta de mensajes contra ChatGPT (similar a uno descubierto por un investigador japonés) que permite acceder a Gmail sin interacción del usuario. ShadowLeak explota las capacidades de agente del asistente de IA Deep Research. OpenAI ya ha corregido la vulnerabilidad.

Descripción del ataque ShadowLeak

Investigación Profunda puede crear un informe detallado sobre un tema específico combinando información de múltiples fuentes (puede tardar hasta 30 minutos). Para obtener respuestas más relevantes, puede leer tu contenido personal a través de Gmail y otras aplicaciones de terceros. Es accesible para todos los usuarios, tanto particulares como empresas.

El ataque de inyección indirecta de mensajes consiste en enviar un correo electrónico con instrucciones ocultas (tamaño de fuente invisible o blanco sobre fondo blanco) en el código HTML. Cuando la víctima, desprevenida, solicita a ChatGPT que analice los correos electrónicos en Gmail, Deep Research lee el correo trampa y ejecuta el mensaje oculto.

En el ejemplo de Radware, el asistente de IA busca la información personal del empleado de la empresa (nombre, dirección y otros datos) y la envía a la URL especificada en las instrucciones, sin interacción del usuario (sin clic). En algunos casos, ChatGPT no ejecutó la solicitud. Tras varios intentos, los investigadores encontraron una forma de eludir las protecciones, con un éxito del 100 %.

A diferencia de otros ataques similares, ShadowLeak no pasa URL ni datos privados al cliente para realizar la solicitud web. Esta solicitud la realiza directamente el agente de IA en la infraestructura en la nube de OpenAI. En la demostración se utilizó Gmail, pero el ataque funciona con otros servicios que pueden conectarse a Deep Research, como Google Drive, Box, Outlook, Teams y GitHub.