| | |

Vulnerabilidad en ChatGPT filtra datos secretos mediante Google Drive

Investigadores revelan un fallo en ChatGPT que permite extraer claves API desde documentos manipulados en Google Drive sin interacción del usuario.
WIRED
Ilustración de un documento envenenado en Google Drive Wired Staff/Getty Images / WIRED

Investigadores hallan vulnerabilidad en ChatGPT que filtra datos secretos

Un documento manipulado en Google Drive puede extraer claves API sin interacción del usuario. El fallo, revelado en Black Hat, afecta a los Conectores de OpenAI. Expertos advierten riesgos al vincular IA con sistemas externos.

«El ataque no necesita clics: solo compartir un archivo»

Los investigadores Michael Bargury y Tamir Ishay Sharbat demostraron en Black Hat cómo un documento con instrucciones ocultas en fuente minúscula engaña a ChatGPT para robar datos. «El modelo sigue órdenes maliciosas al procesar el archivo», explican. OpenAI corrigió el fallo tras ser alertado, pero la técnica evadió filtros de seguridad con URLs de Azure.

Mecanismo del ataque

El documento «envenenado» contenía un prompt oculto que ordenaba a ChatGPT buscar claves API en Drive y adjuntarlas a una URL maliciosa. Aprovechó la función de renderizado de imágenes en Markdown para filtrar datos. Google afirma que sus medidas recientes de seguridad en IA refuerzan la protección.

Repercusión para usuarios

Cualquier persona con Conectores activos podría verse afectada si interactúa con archivos comprometidos. El riesgo aumenta al integrar ChatGPT con correos, calendarios o repositorios de código. Bargury destaca que, aunque el volumen de datos extraíbles es limitado, el método expone vulnerabilidades críticas en sistemas conectados.

La IA potencia utilidad… y amenazas

Los Conectores de OpenAI, lanzados en beta este año, permiten vincular 17 servicios externos con ChatGPT para consultar datos en tiempo real. Sin embargo, la investigación confirma que amplían la superficie de ataque. Un estudio paralelo mostró esta semana cómo inyecciones de prompts pueden incluso controlar dispositivos domésticos inteligentes.

Un recordatorio para la era de la IA integrada

El hallazgo subraya los desafíos de seguridad al combinar modelos de lenguaje con fuentes de datos externas. Mientras empresas como OpenAI y Google implementan parches, los expertos insisten en que estos sistemas requieren protecciones más robustas contra datos no confiables.

Post Views: 9
| "OpenAI" | Andy Wen | Black Hat | DefCon | Google | Johann Rehberger | Las Vegas | Londres | Matt Burgess | Michael Bargury | Microsoft | Revelación de la vulnerabilidad en Black Hat | sam altman | Tamir Ishay Sharbat | WIRED Staff/Getty Images | Zenity |
| Aplicaciones |

The Browser Company lanza suscripción Pro para su navegador con IA

The Browser Company introduce un plan Pro de $20/mes para su navegador Dia con IA, limitando funciones en la
Captura de pantalla de TechCrunch mostrando el navegador Dia Información de autor no disponible / TechCrunch
| Ética y Sociedad |

Dos menores acusados de atacar a exfuncionario de DOGE en Washington

Dos adolescentes de 15 años enfrentan cargos por robo de vehículo sin armas tras agredir a Edward Coristine, excolaborador
Imagen sin título Getty Images / TechCrunch
| Modelos de Lenguaje |

Vulnerabilidad en ChatGPT filtra datos secretos mediante Google Drive

Investigadores revelan un fallo en ChatGPT que permite extraer claves API desde documentos manipulados en Google Drive sin interacción
Ilustración de un documento envenenado en Google Drive Wired Staff/Getty Images / WIRED
| Compañías |

Upwork compra Bubty y Ascen para mercado corporativo

Upwork adquiere Bubty y Ascen para crear una unidad empresarial enfocada en grandes clientes, diversificando su oferta más allá
Imagen sin título SOPA Images / Contributor / Getty Images Enterprise / TechCrunch
| Aplicaciones |

TeaOnHer expone datos de 53.000 usuarios por fallo de seguridad

La aplicación TeaOnHer filtró licencias de conducir, selfies y datos personales de sus usuarios debido a una vulnerabilidad crítica
Imagen sin título Información de autor no disponible / TechCrunch
| Compañías |

Google niega que su IA reduzca el tráfico a sitios web

Google rechaza informes sobre caídas en tráfico web atribuibles a su IA, afirmando que los clics orgánicos mantienen estabilidad
Imagen sin título Jose Luis Carrascosa / Getty Images / TechCrunch
| Compañías |

NHTSA autoriza pruebas de robotaxis sin volante de Zoox

La NHTSA concede a Zoox, propiedad de Amazon, una exención para probar sus vehículos autónomos sin controles tradicionales en
Imagen sin título Información de autor no disponible / TechCrunch
| Ética y Sociedad |

EEUU oculta informe clave sobre riesgos de IA antes de Trump

El NIST identificó 139 fallos en modelos avanzados de IA, pero el informe no se publicó por temor a
Ilustración fotográfica del personal de WIRED/Getty Images Información de autor no disponible / WIRED
| Compañías |

TechCrunch Disrupt 2025: claves para financiar startups

Expertos en capital riesgo compartirán estrategias para conseguir financiación inicial en TechCrunch Disrupt 2025, del 27 al 29 de
Phillip Faraone / Getty Images Phillip Faraone / TechCrunch
| Compañías |

OpenAI ofrece sus modelos de IA al gobierno de EE.UU. por 1 dólar

OpenAI proporcionará sus herramientas de IA, incluido ChatGPT, a agencias federales de EE.UU. por solo 1 dólar durante un
Fotografía de Jakub Porzycki/NurPhoto vía Getty Images Jakub Porzycki / WIRED
| Aplicaciones |

Alexa+ llega con inteligencia generativa para asistentes personales

Amazon renueva su asistente con IA generativa para gestionar calendarios, compras y tareas domésticas. La periodista Sarah Pérez evalúa
Dispositivo Echo Spot con Alexa+ Amazon / TechCrunch
| Modelos de Lenguaje |

Google lanza ‘Guided Learning’ en Gemini para competir con ChatGPT

Google presenta ‘Guided Learning’, una herramienta educativa en Gemini que desglosa problemas con explicaciones adaptadas y recursos interactivos.
Imagen sin título Matthias Balk/picture alliance / Getty Images / TechCrunch