Эксплойт AgentFlayer 0-click использует коннекторы ChatGPT для кражи данных сторонних приложений

AgentFlayer — критическая уязвимость в коннекторах ChatGPT. Узнайте, как эта атака без нажатия кнопки использует непрямое внедрение подсказок для тайной кражи конфиденциальных данных из подключенных приложений Google Диска, SharePoint и других приложений без вашего ведома.

Обнаружена новая уязвимость безопасности, получившая название AgentFlayer, которая демонстрирует, как злоумышленники могут тайно красть личную информацию из подключенных аккаунтов пользователей, таких как Google Drive , без каких-либо действий со стороны пользователя. Уязвимость была обнаружена исследователями кибербезопасности из Zenity и представлена на недавней конференции Black Hat.

Согласно исследованию Zenity, уязвимость использует функцию ChatGPT под названием «Коннекторы», которая позволяет ИИ подключаться к внешним приложениям, таким как Google Диск и SharePoint. Хотя эта функция изначально задумывалась как полезная, например, для того, чтобы ChatGPT мог обобщать документы из файлов вашей компании, Zenity обнаружила, что она также может открыть новые пути для хакеров.

Атака AgentFlayer использует хитроумный метод, называемый непрямой инъекцией подсказки . Вместо того, чтобы напрямую вводить вредоносную команду, злоумышленник внедряет скрытую инструкцию в безобидный на вид документ. Это можно сделать даже с помощью текста, набранного мелким, невидимым шрифтом.

Затем злоумышленник ждёт, пока пользователь загрузит этот заражённый документ в ChatGPT. Когда пользователь просит ИИ составить краткое содержание документа, скрытые инструкции сообщают ChatGPT, что нужно игнорировать запрос пользователя и вместо этого выполнить другое действие. Например, скрытые инструкции могут указать ChatGPT искать конфиденциальную информацию, такую как ключи API, на Google Диске пользователя.

Затем украденная информация отправляется злоумышленнику невероятно скрытным способом. Злоумышленник поручает ChatGPT создать изображение со специальной ссылкой. Когда ИИ отображает это изображение, ссылка тайно отправляет украденные данные на сервер, контролируемый злоумышленником. Всё это происходит без ведома пользователя и без необходимости нажимать на какие-либо кнопки.

Исследование Zenity показывает, что, хотя OpenAI и использует некоторые меры безопасности, их недостаточно для предотвращения подобных атак. Исследователи смогли обойти эти меры, используя определённые URL-адреса изображений, которым ChatGPT доверяет.

Эта уязвимость является частью более обширного класса угроз, связанных с подключением моделей ИИ к сторонним приложениям. Итай Равиа , руководитель Aim Labs, подтвердил это, заявив, что подобные уязвимости не единичны и, вероятно, их будет больше в популярных продуктах ИИ.

«Как мы предупреждали в нашем первоначальном исследовании EchoLeak (CVE-2025-32711) , о котором Aim Labs публично сообщила 11 июня, этот класс уязвимостей не является изолированным и другие платформы агентов также подвержены ему » , — пояснил Равиа.

«Атака AgentFlayer Zero-Click — это подмножество тех же примитивов EchoLeak. Эти уязвимости являются внутренними, и мы будем видеть их всё больше в популярных агентах из-за плохого понимания зависимостей и необходимости в защитных барьерах», — прокомментировал Равиа, подчеркнув, что для защиты от подобных изощрённых манипуляций необходимы передовые меры безопасности.