AgentFlayer 0-click exploit misbruikt ChatGPT-connectoren om gegevens van apps van derden te stelen

AgentFlayer is een kritieke kwetsbaarheid in ChatGPT Connectors. Ontdek hoe deze zero-click-aanval indirecte promptinjectie gebruikt om heimelijk gevoelige gegevens te stelen van uw verbonden Google Drive, SharePoint en andere apps, zonder dat u het weet.

Er is een nieuwe beveiligingslek, AgentFlayer genaamd, ontdekt dat laat zien hoe aanvallers stiekem persoonlijke informatie kunnen stelen van gekoppelde accounts van gebruikers, zoals Google Drive , zonder dat de gebruiker er ooit op hoeft te klikken. De kwetsbaarheid werd ontdekt door cybersecurityonderzoekers van Zenity en gepresenteerd op de recente Black Hat-conferentie.

Volgens het onderzoek van Zenity maakt het lek gebruik van een functie in ChatGPT genaamd Connectors, waarmee de AI verbinding kan maken met externe applicaties zoals Google Drive en SharePoint. Hoewel deze functie is ontworpen om bijvoorbeeld ChatGPT documenten uit de bestanden van uw bedrijf te laten samenvatten, ontdekte Zenity dat het ook een nieuwe weg voor hackers kan creëren.

De AgentFlayer-aanval werkt via een slimme methode genaamd indirecte promptinjectie . In plaats van direct een kwaadaardige opdracht in te typen, integreert een aanvaller een verborgen instructie in een onschuldig ogend document. Dit kan zelfs met tekst in een klein, onzichtbaar lettertype.

De aanvaller wacht vervolgens tot een gebruiker dit vergiftigde document uploadt naar ChatGPT. Wanneer de gebruiker de AI vraagt het document samen te vatten, geven de verborgen instructies ChatGPT de opdracht om het verzoek van de gebruiker te negeren en in plaats daarvan een andere actie uit te voeren. De verborgen instructies kunnen ChatGPT bijvoorbeeld vertellen om de Google Drive van de gebruiker te doorzoeken naar gevoelige informatie, zoals API-sleutels .

De gestolen informatie wordt vervolgens op een ongelooflijk subtiele manier naar de aanvaller gestuurd. De instructies van de aanvaller geven ChatGPT de opdracht een afbeelding met een speciale link te maken. Wanneer de AI deze afbeelding weergeeft, stuurt de link de gestolen gegevens in het geheim naar een server die door de aanvaller wordt beheerd. Dit alles gebeurt zonder medeweten van de gebruiker en zonder dat hij ergens op hoeft te klikken.

Uit het onderzoek van Zenity blijkt dat OpenAI weliswaar enkele beveiligingsmaatregelen heeft genomen, maar dat deze niet voldoende zijn om dit soort aanvallen te stoppen. Onderzoekers konden deze beveiligingen omzeilen door specifieke afbeeldings-URL's te gebruiken die ChatGPT vertrouwde.

Deze kwetsbaarheid maakt deel uit van een grotere groep bedreigingen die de risico's aantonen van het koppelen van AI-modellen aan apps van derden. Itay Ravia , hoofd van Aim Labs, bevestigde dit en stelde dat dergelijke kwetsbaarheden niet op zichzelf staan en dat ze waarschijnlijk vaker zullen voorkomen in populaire AI-producten.

"Zoals we al waarschuwden in ons oorspronkelijke onderzoek, EchoLeak (CVE-2025-32711) , dat Aim Labs op 11 juni openbaar maakte, is dit type kwetsbaarheid niet geïsoleerd. Ook andere agentplatforms zijn er vatbaar voor " , legt Ravia uit.

"De AgentFlayer zero-click-aanval is een subset van dezelfde EchoLeak-primitieven. Deze kwetsbaarheden zijn intrinsiek en we zullen ze vaker zien in populaire agents vanwege een gebrekkig begrip van afhankelijkheden en de noodzaak van beschermingsmaatregelen", merkte Ravia op, benadrukkend dat geavanceerde beveiligingsmaatregelen nodig zijn om zich te verdedigen tegen dit soort geavanceerde manipulaties.