Zero-Click en OpenAI: agentes de IA filtran tus contraseñas, documentos y mensajes privados
Vulnerabilidad en OpenAI comprometió no solo el correo electrónico, sino también Dropbox, GitHub y otros servicios
OpenAI corrigió una grave vulnerabilidad, ShadowLeak, que permitía al agente Deep Research, que opera en la nube, extraer de forma sigilosa datos personales de fuentes conectadas y enviarlos a servidores externos; la víctima incluso podía no abrir el correo peligroso. La vulnerabilidad Zero-Click fue descubierta por especialistas de Radware, que la comunicaron a la compañía.
Deep Research fue concebido como un recopilador de información autónomo: rastrea internet, el correo y los documentos y genera informes detallados. Los investigadores mostraron que un atacante podía introducir en un correo instrucciones ocultas —por ejemplo, escribir comandos con letra blanca o usar un tamaño de texto diminuto— y convencer al agente de extraer del mensaje nombre y apellidos y direcciones, codificarlos y transmitirlos mediante la herramienta interna browser.open() a un supuesto servicio de cumplimiento. La clave era que el modelo transformaba previamente los valores sensibles a una cadena Base64, tras lo cual la capa de ejecución realizaba una petición HTTP normal a un recurso externo: es decir, la exfiltración se producía totalmente en el lado del servicio y era invisible para el usuario final y para los cortafuegos corporativos.
La naturaleza de servicio de la fuga la hace especialmente peligrosa: las medidas tradicionales de protección, incluidos los proxies y los sistemas de monitorización, no detectan acciones iniciadas dentro del entorno en la nube, y los usuarios no reciben señales visuales sobre intentos de acceso. Los autores señalan que el método es aplicable no solo a Gmail, sino también a otros conectores: Google Drive, Dropbox, SharePoint, GitHub, mensajería y sistemas empresariales, si el agente procesa texto estructurado o semiformateado; esto abría la vía al robo de contratos, notas de reuniones y bases de datos de clientes.
Como medidas de protección se proponen la limpieza previa de los datos entrantes —normalización del HTML, eliminación de estilos invisibles y de caracteres ofuscados— y un control más estricto de las acciones del agente: verificación de que las llamadas externas que realiza corresponden con la tarea original del usuario, monitorización de solicitudes colaterales y listas estrictas de dominios permitidos para las herramientas de ejecución.
También los autores recomiendan limitar la capacidad de los agentes para realizar llamadas HTTP por su cuenta y aumentar la transparencia de sus acciones para los administradores. Radware presentó el informe a OpenAI a través de la plataforma BugCrowd el 18 de junio. El desarrollador publicó una corrección a comienzos de agosto, y el 3 de septiembre confirmó el cierre del problema.
Los especialistas subrayan que el ejemplo ShadowLeak demuestra una nueva clase de ataques contra agentes autónomos, en los que la ingeniería social y las indicaciones ocultas convierten una útil herramienta en un canal de fuga, y llaman a las empresas a revisar el modelo de confianza hacia los asistentes en la nube y a reforzar los procesos locales de verificación del contenido.