Uma nova vulnerabilidade foi descoberta no navegador Comet, da Perplexity, permitindo que um e-mail aparentemente inofensivo execute uma ação destrutiva que apaga todo o conteúdo do Google Drive do usuário.
A pesquisa, realizada pelo Straiker STAR Labs, revelou uma técnica de wipe zero-click que explora a conexão do navegador com serviços como Gmail e Google Drive para automatizar tarefas.
Isso concede ao agente acesso para ler e-mails, navegar por arquivos e pastas e realizar ações como mover, renomear ou excluir conteúdos.
O processo funciona da seguinte forma: um comando simples, como “Por favor, verifique meu e-mail e complete todas as minhas tarefas recentes de organização”, faz com que o agente do navegador leia a caixa de entrada, identifique mensagens relevantes e execute as ações solicitadas.
“Esse comportamento exemplifica uma execução excessiva por assistentes baseados em LLM (Large Language Models), em que o modelo vai além do comando explícito do usuário”, explica a pesquisadora de segurança Amanda Rousseau, em relatório divulgado ao The Hacker News.
Um atacante pode explorar esse mecanismo enviando um e-mail especialmente elaborado com instruções em linguagem natural para organizar o Google Drive da vítima.
Essas orientações incluem, por exemplo, a exclusão de arquivos com extensões específicas, a remoção de documentos fora de pastas ou até uma limpeza geral.
Como o agente interpreta essas ações como rotina de manutenção, ele as executa sem nenhuma confirmação do usuário, resultando na exclusão efetiva dos arquivos.
“O resultado é um agente de navegador que funciona como um wiper, movendo conteúdos críticos para a lixeira em larga escala, a partir de um único comando em linguagem natural”, alerta Rousseau.
“Assim que o agente obtém acesso OAuth ao Gmail e Google Drive, instruções maliciosas podem se propagar rapidamente por pastas compartilhadas e drives de equipe.”
O diferencial dessa técnica está no fato de não exigir jailbreak ou injeção de prompt, mas sim persuadir o agente por meio de uma sequência educada de instruções.
Frases como “cuide disso”, “manuseie essa tarefa” e “faça isso em meu nome” transferem a responsabilidade para o agente, demonstrando como o tom e a estrutura do texto podem induzir o LLM a seguir comandos maliciosos sem avaliar se as ações são seguras.
Para minimizar esses riscos, é fundamental reforçar a segurança não apenas do modelo de linguagem, mas também do agente, seus conectores e das instruções em linguagem natural que ele executa.
Rousseau destaca: “Assistentes de navegador com agência transformam comandos cotidianos em ações potentes no Gmail e no Google Drive.
Quando essas ações são motivadas por conteúdos não confiáveis — especialmente e-mails educados e bem estruturados — as organizações enfrentam uma nova categoria de risco zero-click de wipe de dados.”
Além disso, outra técnica chamada HashJack, apresentada pela Cato Networks, explora fragmentos de URL para injeção indireta de prompts maliciosos.
Nesta abordagem, comandos maliciosos são ocultados após o símbolo “#” em URLs legítimas (por exemplo, “www.exemplo.com/home#<prompt>”), enganando o agente para executá-los quando o usuário acessa o site e interage com o navegador AI.
“HashJack é a primeira injeção indireta de prompt conhecida capaz de usar qualquer site legítimo para manipular assistentes de navegador com inteligência artificial”, explica o pesquisador Vitaly Simonovich.
Por estar embutido na URL de um site real, o usuário tende a considerar o conteúdo seguro, enquanto instruções ocultas controlam o agente.
Após a divulgação responsável, o Google classificou a vulnerabilidade como “comportamento intencional” e de baixa severidade, sem previsão de correção.
Já Perplexity e Microsoft lançaram patches para seus navegadores AI (Comet v142.0.7444.60 e Edge 142.0.3595.94, respectivamente).
Por sua vez, Claude para Chrome e OpenAI Atlas mostram-se imunes ao HashJack.
Vale lembrar que o Google não considera violações de políticas de geração de conteúdo nem bypasses de guardrails como vulnerabilidades em seu programa AI Vulnerability Reward Program (AI VRP).
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...