Un estudio reciente reveló una vulnerabilidad crítica en Google Bard, el popular chatbot de inteligencia artificial con extensiones que permiten acceder a YouTube, documentos personales y mucho más. Las actualizaciones, aparentemente beneficiosas, abrieron la puerta a un riesgo potencial para la privacidad de los usuarios al demostrar la debilidad frente a un ataque conocido como inyección indirecta de prompts.
Vulnerabilidades en Google Bard: extensiones potencialmente peligrosas
La introducción de extensiones en Google Bard amplió enormemente el alcance de las funciones del asistente virtual. Sin embargo, según el investigador de seguridad Johann Rehberger, esto también hizo posible acceder y analizar datos confidenciales en Google Drive, Docs y Gmail. El descubrimiento plantea serios problemas de seguridad, ya que un usuario malintencionado podría aprovechar esta vulnerabilidad para realizar una Inyección Indirecta de prompts.
Indirect Prompt Injection: una nueva capa de amenaza en los chatbots
La Indirect Prompt Injection es una amenaza especialmente insidiosa porque puede ejecutarse sin el consentimiento del usuario. El analista de seguridad pudo demostrar la eficacia del ataque utilizando vídeos de YouTube y documentos de Google.
Esto implica que un atacante podría difundir documentos maliciosos a través de Google Docs, los cuales, una vez interactuados por el usuario a través de Google Bard, podrían desencadenar la Inyección Indirecta de prompts.
Exfiltración de datos a través de imágenes: un ataque zero-click
La investigación reveló otra vulnerabilidad interesante relacionada con la capacidad de Google Bard para renderizar imágenes desde URL externas.
A pesar de las políticas de seguridad de contenidos (CSP) de Google, el investigador pudo desarrollar una carga útil que, explotando Google Apps Script, permitía exfiltrar el historial de chat del usuario a través de un documento de Google Drive.
Esto también hace replantearse implícitamente la solidez actual de las políticas de seguridad de los chatbots de inteligencia artificial de Google.
Vulnerabilidad en Google Bard: Solución y respuesta de Google.
El investigador informó rápidamente de la vulnerabilidad a Google VRP el 19 de septiembre de 2023. Tras una revisión por parte del personal, el 19 de octubre de 2023, Google confirmó que el problema se había resuelto y dio su consentimiento para que la demostración se presentara durante la Ekoparty 2023, evento al que también asistió el autor de esta investigación y que se celebró el 1 de noviembre.
Sin embargo, la solución adoptada por Google aún no está del todo clara, ya que el CSP no parece haber sido modificado pero, a pesar de ello, el autor de la investigación está satisfecho con la reacción de Google y la rápida aplicación de la corrección: por el momento, presumiblemente un filtro contra las URL que contienen datos.
Vulnerabilidad en Google Bard: consejos para reducir el riesgo
El descubrimiento de esta vulnerabilidad resalta la complejidad y el alcance de un ataque de Inyección Indirecta de Peticiones.
Se recomienda a los usuarios que presten atención a las extensiones instaladas en Google Bard y sean conscientes de la seguridad de los documentos compartidos a través de la plataforma.
Además, el caso plantea la cuestión de la solidez de las políticas de seguridad de los contenidos, lo que allana el camino para seguir analizándolo en el futuro.