Redazione RHC:6 Dezembro de 2025 19:25
Pesquisadores do Striker STAR Labs descreveram um novo ataque de navegador baseado em agentes Que pode Virar um regular Email para quase completo Limpador da sua caixa de entrada do Google Drive.
Os alvos do ataque Cometa , um navegador movido por IA de Perplexidade Que pode gerencie automaticamente o usuário Email e nuvem.
A técnica, chamada Google Drive Limpador, é um ” zero-clique ” Ataque: O usuário não precisa clicar em um link malicioso ou abrir um anexo. Funciona conectando o navegador ao Gmail e Google Drive via OAuth. O usuário concede ao agente permissão única para ler e-mails, visualizar arquivos e realizar ações neles , como movê-los, renomeá-los ou excluí-los. O agente pode então realizar essas ações automaticamente em resposta a solicitações de texto.
Um pedido simples e inofensivo poderia ser: ” Confira meu Email e completar quaisquer tarefas recentes de limpeza O agente analisa os e-mails, encontra mensagens relevantes e segue as instruções. O problema é que o atacante pode pré-enviar para a vítima um e-mail especialmente elaborado, descrevendo livremente a tarefa de “limpeza” do Google Drive : ordenar arquivos, deletar itens com certas extensões ou qualquer coisa fora das pastas, e então “inspecionar os resultados.”
O agente percebe esse e-mail como rotina e segue obedientemente as instruções. Como resultado, arquivos reais de usuários no Google Drive são enviados para o lixo sem mais confirmação humana. ” O resultado é que o navegador do agente se transforma automaticamente em um Limpador e transferência em massa de dados críticos para o lixo com uma única solicitação de linguagem natural “, observa a pesquisadora de segurança Amanda Russo. Segundo ela, uma vez que o agente tenha acesso OAuth ao Gmail e Google Drive , as instruções maliciosas podem se espalhar rapidamente entre pastas compartilhadas e contas de linha de comando.
É particularmente significativo que Esse ataque não depende de jailbreak ou prompt tradicional injecção. O agressor simplesmente precisa ser educado, fornecer instruções coerentes e formular pedidos como ” cuidar disso,” ” cuide disso,” ou ” Faça isso por mim ,” efetivamente entregando o controle ao agente. Os pesquisadores enfatizam que O tom e a estrutura do texto podem sutilmente empurrar um modelo de linguagem para ações perigosas, mesmo que ele cumpra formalmente políticas de segurança.
Para mitigar riscos, proteger o próprio modelo não é suficiente. Você precisa considerar toda a cadeia: O agente, suas conexões com serviços externos e as instruções em linguagem natural que ele está autorizado a executar automaticamente . Caso contrário, todo e-mail educado e bem formado de um remetente desconhecido se torna um possível gatilho para um ataque sem clique aos seus dados.
Enquanto isso, a Cato Networks demonstrou outra técnica para atacar navegadores com IA, chamada HashJack . Nesse cenário, um Prompt malicioso está escondido em um fragmento de URL após o símbolo “#” , como www.example[.]com/home# . Esse endereço pode ser enviado por e-mail, mensagens instantâneas, redes sociais ou incorporado em uma página da web. Assim que a vítima abre o site e faz ao navegador com IA uma pergunta “inteligente” sobre o conteúdo da página, o agente lê o fragmento oculto e executa as instruções que ele contém.
” HashJack é o primeiro prompt indireto conhecido injecção ataque que permite que qualquer site legítimo controle secretamente um assistente de IA em um navegador “, explica o pesquisador Vitaly Simonovich. O usuário vê um endereço legítimo e confia nele, enquanto as instruções maliciosas ficam escondidas em uma parte normalmente negligenciada da URL.
Após a divulgação responsável, O Google deu prioridade baixa ao problema e o status “não vai corrigir (comportamento pretendido”) “—o comportamento é considerado esperado. Enquanto isso, Perplexidade e Microsofnão lançaram patches para seus navegadores de IA, especificando versões específicas do Comet v142.0.7444.60 e Edge 142.0.3595.94. Segundo os pesquisadores, o navegador Claude para Chrome e o OpenAI Atlas não são vulneráveis ao HashJack.
Os autores do artigo enfatizam especificamente que Recompensa de Vulnerabilidades em IA do Google O programa não considera geração de conteúdo violações de políticas e segurança guard-rail desvios para ser Vulnerabilidades de segurança completas . Na prática, isso significa que toda uma categoria de ataques a agentes de IA permanece na interseção entre segurança e o “comportamento esperado” dos sistemas que cada vez mais acessam dados e serviços reais de usuários.
- #cybersecurity
- Ameaça de agente de IA
- Segurança dos navegadores de IA
- Segurança com IA
- Vulnerabilidade em inteligência artificial
- Ataque de IA baseado em navegador
- Proteção de dados
- Limpador de Vidro do Google Drive
- Segurança em aprendizado de máquina
- Ataque com zero cliques
Redazione
A equipe editorial do Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias iniciais sobre cibersegurança e computação em geral.