Su señoría, el testigo es un virus: cómo entrenaron a una IA para perjurar y robar contraseñas
La obediencia ciega de los algoritmos provocó consecuencias inesperadas.
En el funcionamiento del asistente jurídico basado en inteligencia artificial Vincent, desarrollado por vLex, se detectó una vulnerabilidad que permite a los atacantes llevar a cabo ataques de phishing mediante la inserción de código HTML oculto. El servicio es usado por más de 200.000 organizaciones jurídicas en todo el mundo, incluidas grandes firmas legales internacionales, lo que hace que la brecha detectada sea potencialmente peligrosa para un amplio número de usuarios.
Como mostró la investigación del equipo de PromptArmor, los cibercriminales pueden insertar código malicioso en el texto de los documentos, presentándolo como texto blanco invisible. Tales archivos, cargados en el sistema por miembros de los equipos jurídicos durante la preparación de casos, activan comandos ocultos cuando Vincent AI comienza a analizar el contenido y a citar los fragmentos detectados. Como resultado, en la ventana del navegador se abre un cuadro emergente falso que imita la interfaz de inicio de sesión de vLex y está diseñado para robar las credenciales del usuario.
Este mecanismo recibió el nombre de «suplantación de pantalla» y consiste en superponer una interfaz falsa sobre el contenido real de la página. El usuario, sin sospechar del ataque, introduce su nombre de usuario y contraseña, entregándolos así a los atacantes.
En el caso descrito, la trampa textual se enmascaraba como una supuesta cita de un testigo, y Vincent AI, según la instrucción, procesaba todas esas citas generando automáticamente código que el navegador interpretaba como parte de la interfaz oficial de la plataforma.
El problema se agrava por el hecho de que la vulnerabilidad no solo puede utilizarse para phishing, sino también para ejecutar código JavaScript incrustado a través de hipervínculos y elementos HTML. Esto abre posibilidades para la exfiltración de datos encubierta, el secuestro de sesiones, descargas forzadas de archivos y minería de criptomonedas. Algunos tipos de ataque pueden activarse cada vez que se abre el chat, incluso sin acciones por parte del usuario.
También es posible el robo de tokens de sesión, lo que permite a los atacantes actuar en nombre de la víctima, incluyendo el acceso a la información almacenada en la plataforma. PromptArmor subraya que los documentos comprometidos no deben compartirse con todo el personal de la organización y deben marcarse como no confiables si se reciben de fuentes externas. También se recomienda prohibir la carga de archivos desde recursos en línea no verificados.
Según los autores del informe, la compañía vLex recibió la notificación del problema e implementó rápidamente correcciones según las recomendaciones. Recordemos que el mes pasado el servicio fue adquirido por Clio —un gran proveedor de soluciones informáticas jurídicas— y la base total de clientes de la plataforma creció hasta cientos de miles.
¿Estás cansado de que Internet sepa todo sobre ti?