O exploit de 0 clique do AgentFlayer abusa dos conectores ChatGPT para roubar dados de aplicativos de terceiros

AgentFlayer é uma vulnerabilidade crítica nos conectores ChatGPT. Saiba como esse ataque de clique zero usa injeção indireta de prompt para roubar secretamente dados confidenciais do seu Google Drive, SharePoint e outros aplicativos conectados, sem que você saiba.

Uma nova falha de segurança, denominada AgentFlayer, foi revelada e demonstra como invasores podem roubar secretamente informações pessoais de contas conectadas de usuários, como o Google Drive , sem que o usuário sequer clique em nada. A vulnerabilidade foi descoberta por pesquisadores de segurança cibernética da Zenity e apresentada na recente conferência Black Hat.

De acordo com a pesquisa da Zenity, a falha se aproveita de um recurso do ChatGPT chamado Conectores, que permite à IA se conectar a aplicativos externos, como Google Drive e SharePoint. Embora esse recurso tenha sido projetado para ser útil, por exemplo, permitindo que o ChatGPT resuma documentos dos arquivos da sua empresa, a Zenity descobriu que ele também pode abrir caminho para hackers.

O ataque AgentFlayer funciona por meio de um método inteligente chamado injeção indireta de prompt . Em vez de digitar diretamente um comando malicioso, o invasor insere uma instrução oculta em um documento aparentemente inofensivo. Isso pode até ser feito com texto em uma fonte minúscula e invisível.

O invasor então aguarda que o usuário envie o documento contaminado para o ChatGPT. Quando o usuário solicita à IA que resuma o documento, as instruções ocultas instruem o ChatGPT a ignorar a solicitação do usuário e, em vez disso, executar uma ação diferente. Por exemplo, as instruções ocultas podem instruir o ChatGPT a pesquisar informações confidenciais, como chaves de API , no Google Drive do usuário.

As informações roubadas são então enviadas ao invasor de uma forma incrivelmente sutil. As instruções do invasor dizem ao ChatGPT para criar uma imagem com um link especial. Quando a IA exibe essa imagem, o link envia secretamente os dados roubados para um servidor controlado pelo invasor. Tudo isso acontece sem o conhecimento do usuário e sem que ele precise clicar em nada.

A pesquisa da Zenity aponta que, embora a OpenAI tenha algumas medidas de segurança implementadas, elas não são suficientes para impedir esse tipo de ataque. Os pesquisadores conseguiram contornar essas proteções usando URLs de imagens específicas nas quais o ChatGPT confiava.

Esta vulnerabilidade faz parte de uma classe maior de ameaças que demonstram os riscos de conectar modelos de IA a aplicativos de terceiros. Itay Ravia , chefe da Aim Labs, confirmou isso, afirmando que tais vulnerabilidades não são isoladas e que provavelmente mais delas aparecerão em produtos de IA populares.

“Como alertamos em nossa pesquisa original, EchoLeak (CVE-2025-32711) , que a Aim Labs divulgou publicamente em 11 de junho, essa classe de vulnerabilidade não é isolada, com outras plataformas de agentes também suscetíveis ” , explicou Ravia.

"O ataque de clique zero do AgentFlayer é um subconjunto das mesmas primitivas do EchoLeak. Essas vulnerabilidades são intrínsecas e veremos mais delas em agentes populares devido à falta de compreensão das dependências e à necessidade de proteções", comentou Ravia, enfatizando que medidas de segurança avançadas são necessárias para se defender contra esse tipo de manipulação sofisticada.