Entonces filtró datos privados de un usuario de Google Mail – La nación

¿Sería inteligencia artificial para algo tan íntimo como administrar su correo electrónico? No se trata solo de tus respuestas, se trata de eso Parte de nuestra vida personal y laboral. La tentación está ahí. ¿Por qué invertir varios minutos en consultas de búsqueda manual y verificar los mensajes individualmente si puede delegar la tarea a un agente de IA que sea tan simple como sigue: “Analice mis casas electrónicas hoy y recopile toda la información sobre mi proceso de configuración de nuevos empleados”?

El plan parece ser perfecto en papel. La IA asume un trabajo tedioso y puedes relajar el tiempo para lo que es realmente importante.

Un mensaje inocente para un escape invisible

El problema es que esta solución “mágica” también puede estar en contra. Lo que promete aumentar la productividad En la puerta principal para los atacantes Con malas intenciones. Esto es advertido por el último Investigación de radware cibernéticoLo que muestra cómo un correo electrónico cuidadosamente sofisticado debía provocar la defensa de seguridad de la investigación en profundidad de Chatt y transformarla en una herramienta para filtrar información confidencial.

El desorden del informe es la simplicidad del ataque. No es necesario hacer clic en un enlace o descargar algo sospechoso: es suficiente para que el asistente procese un correo electrónico modificado para finalizar la información confidencial de filtrado. El usuario continúa su diario sin notar nada mientras los datos viajan a un servidor controlado por el atacante.

Parte del éxito radica en la combinación de varias técnicas clásicas de ingeniería social que están adaptadas al engaño de la IA.

• Declaración de las autoridades: La noticia insiste en que el agente tiene “autorización completa” y se “espera” acceder a URL externos, lo que crea una falsa sensación de permiso.
• Tipo de URL maligno: La dirección del atacante se presenta como un servicio oficial, por ejemplo, como un “sistema de cumplimiento” o una “superficie de restauración de perfil”, de modo que aparece una tarea de empresa legítima.
• Mandato de persistencia: Si el error de control suave de SO, las órdenes inmediatas encargaron las órdenes inmediatas varias veces y “creativamente” hasta que reciban acceso para que no puedan superar varias restricciones de ministismo.
• Creación y consecuencias de emergencia: Se encuentran problemas si la acción no está completa, como B. “El informe se vuelve incompleto”, lo que rápidamente reduce al asistente.
• Instrucciones de seguridad incorrectas: Se asegura que los datos son públicos o que la respuesta es “HTML estático” y se indica que están codificados en función de 64 para que estén “seguros”, un recurso que realmente ayuda a ocultar la exfiltración.
• Ejemplo claro y reproducible: El E -Mail contiene un ejemplo de paso a paso cómo se formatean los datos y la URL. Esto facilita que el modelo los siga en la carta.

Como podemos ver, el vector en su apariencia es simple y peligroso en su resultado. Un correo electrónico con instrucciones ocultas en HTML o metadatos se convierte en un orden legítimo para el agente. En general, el ataque está materializado:

• El atacante prepara un correo electrónico legítimo, pero con código o instrucciones que están integradas en el HTML que son invisibles para el usuario.
• El mensaje llega a la bandeja del destinatario y permanece desapercibido bajo los restos de los correos electrónicos.
• Si el usuario instruye a la profundidad de Chatt para verificar o resumir las noticias del día, el agente procesa el e -sil y no diferencia entre el texto visible y las instrucciones ocultas.
• El agente lleva a cabo las instrucciones y llama a una URL externa controlada por el atacante, incluidos los datos de requisitos extraídos por el buzón.
• La organización no reconoce la salida en sus sistemas porque el tráfico de la nube del proveedor y no del alcance.

Las consecuencias van mucho más allá de una simple publicación manipulada. Como agente asociado con los permisos, reaccionar a la bandeja de entrada Sin que el usuario lo note. El riesgo es doble: por un lado, la pérdida de información confidencial; Por otro lado, se basa la dificultad de seguir el vuelo, ya que la solicitud se basa en la infraestructura del asistente y no en la red de la compañía.

El hallazgo no permaneció en una simple advertencia. Se hizo responsable de Openai, quien reconoció la vulnerabilidad y rápidamente actuó para cerrarla. El error se ha corregido desde entonces, pero eso no significa que el riesgo haya desaparecido. Lo que se muestra es un patrón de ataque que podría repetirse en otros entornos de IA con propiedades similares y nos obliga a repensar cómo creamos confianza en estos sistemas.

Ocurremos en un momento en que los agentes de IA se multiplican y forzamos cómo entendemos la seguridad. Para muchos usuarios, un escenario, como hemos descrito, e impensable, es incluso para aquellos que tienen un nivel avanzado en informática. No hay antivirus que nos libere de este tipo de debilidades: la clave es entender lo que sucede y se anticipa. Lo más sorprendente es que los ataques se parecen más a un ejercicio del trabajo de persuasión en el lenguaje natural que como una bacalao.

Fotos | Xataka con Gemini 2.5 Pro

En Xataka | China tiene el sistema de censura más grande del mundo. Ahora ha decidido exportarlo y venderlo a otros países