La empresa de ciberseguridad israelí Zenity reveló lo que define como la primera vulnerabilidad de "cero clics" en el servicio ChatGPT de OpenAI, mostrando cómo alguien podría tomar el control de una cuenta de ChatGPT y extraer información sensible sin que el usuario haga clic en un enlace, abrir un archivo o realizar ninguna acción deliberada.
La demostración fue realizada por Mikhail Bergori, cofundador y CTO de Zenity, durante la conferencia Black Hat 2025 que se llevó a cabo esta semana en Las Vegas, EE. UU.
Mostró cómo un hacker podría explotar el sistema utilizando únicamente la dirección de correo electrónico del usuario para obtener el control total sobre el chat del usuario, incluido el acceso tanto a conversaciones pasadas como futuras, alterando los objetivos de la conversación y guiando el chat para actuar en nombre del hacker.
Durante la conferencia, se demostró cómo el ChatGPT atacado se convirtió en un agente malicioso operando de manera encubierta contra el usuario. Los investigadores señalaron cómo el hacker podría incitar al chatbot a sugerir que el usuario descargara un cierto virus, recomendar consejos comerciales incorrectos o incluso acceder a archivos almacenados en Google Drive siempre y cuando estuvieran conectados a la cuenta.
Todo esto podría realizarse sin que el usuario se diera cuenta de que algo había salido mal. La vulnerabilidad fue totalmente parcheada solo después de que Zenity la reportara a OpenAI.
El ataque al ChatGPT no fue el único
Durante la conferencia, los investigadores de la compañía mostraron cómo también lograron vulnerar otros servicios de agentes de IA populares. En el Copilot Studio de Microsoft, se reveló una forma de filtrar bases de datos CRM enteras.
En el caso de Salesforce Einstein, los hackers crearon solicitudes de servicio falsas que redirigían todas las comunicaciones de los clientes a direcciones de correo electrónico bajo su control.
Los sistemas Google Gemini y Microsoft 365 Copilot fueron repurpuestos como agentes hostiles que realizaban ingeniería social en usuarios y filtraban conversaciones sensibles a través de mensajes de correo electrónico y eventos del calendario.
La herramienta de desarrollo Cursor, cuando se integró con Jira MCP, también fue explotada en un ataque donde se utilizaron tickets maliciosos para robar las credenciales de inicio de sesión de los desarrolladores.
Zenity señaló que algunas empresas, como OpenAI y Microsoft, lanzaron rápidamente parches tras el informe. Sin embargo, también hubo empresas que optaron por no abordar las vulnerabilidades, argumentando que era el comportamiento previsto del sistema en lugar de una falla de seguridad.
Según Mikhail Bergori, los nuevos desafíos surgen del hecho de que los agentes hoy en día no son solo asistentes que realizan tareas simples, sino entidades digitales que actúan en nombre de los usuarios, abriendo carpetas, enviando archivos y accediendo a correos electrónicos. Señaló que esto es como un "paraíso" para los hackers, ya que hay innumerables puntos de entrada potenciales.
Ben Kaliger, cofundador y CEO de la empresa, enfatizó que la investigación de Zenity muestra claramente que los enfoques de seguridad actuales no son adecuados para las prácticas operativas reales de los agentes, y que las organizaciones deben cambiar su enfoque y buscar soluciones dedicadas que les permitan controlar y monitorear las actividades de estos agentes.
Zenity fue fundada en 2021 por Ben Kaliger y Mikhail Bergori. Actualmente, la empresa emplea alrededor de 110 personas en todo el mundo, con 70 trabajando en las oficinas de Tel Aviv. Entre sus clientes se encuentran empresas Fortune 100 e incluso empresas Fortune 5.