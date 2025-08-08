Circa cinque mesi fa, OpenAI ha annunciato ChatGPT Connectors, una funzionalità che permette al chatbot di accedere alle app di terze parti per fornire risposte specifiche all’utente. I ricercatori di Zenity Labs hanno scoperto che è possibile accedere a dati sensibili tramite questi “connettori” con un attacco 0-click.

Descrizione dell’attacco AgentFlayer

ChatGPT Connectors consente di ricevere risposte personalizzate collegando app di terze parti, tra cui Google Drive, GitHub e SharePoint. Il chatbot accede quindi ai dati e fornisce risposte a semplici richieste (ad esempio “Trova l’ultimo documento aggiornato“) oppure a richieste più complesse (ad esempio “Riassumi il documento“). Questa funzionalità può essere sfruttata per eseguire un attacco di indirect prompt injection che i ricercatori di Zenity Labs hanno denominato AgentFlayer.

Un cybercriminale deve solo conoscere l’indirizzo email della potenziale vittima per condividere tramite Google Drive un documento che contiene un prompt nascosto (scritto in bianco con dimensione del testo di un pixel). Quando viene caricato il documento e chiesto di generare il riassunto, ChatGPT esegue il prompt.

Nell’esempio del video, il prompt contiene le istruzioni per trovare le API key in Google Drive. Dopo averle trovate, ChatGPT deve aggiungerle come parametro ad un URL (un comando in linguaggio Markdown). Viene quindi effettuata la connessione ad un server esterno per recuperare un’immagine e contemporaneamente sono inviate le API key. L’esfiltrazione dei dati avviene senza l’interazione dell’utente, quindi è un attacco 0-click.

OpenAI ha implementato diverse misure di mitigazione, tra cui il controllo dell’URL prima di visualizzare l’immagine. È sufficiente però inserire un URL di un servizio affidabile, come Azure Blob Storage, per aggirare la protezione. L’attacco AgentFlayer funziona anche con altre app di terze parti connesse a ChatGPT.