Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe y el riesgo de los AI-First Web Browsers con ChatGPT Atlas

Antes de ayer salía el anuncio de ChatGPT Atlas, el nuevo AI-First Web Browser de OpenAI. Basado en Agentic AI actions, siguiendo la estela de Perplexity Comet. Al mismo tiempo, se publicaba una nueva PoC de un Indirect Prompt Injection en Perplexity Comet que permitía cargarse todas las suscripciones en Stripe de una compañía, publicada por Eito Miyamura.

Figura 1: Indirect Prompt Injection en Perplexity Comet

para atacar tu Stripe y el riesgo de los

AI-First Web Browsers con ChatGPT Atlas

Y digo que es el segundo Indirect Prompt Injection en Perplexity Comet, porque ya tuvimos una PoC de cómo robar con un Indirect Prompt Injection en Perplexity Comet la mismísima cuenta de Perplexity, pero podría haber sido al de cualquier otro servicio online conectado a la cuenta de Gmail con la que tuvieras iniciada sesión en Perplexity Comet. 

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

En este caso, la PoC de Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe es similar, pero en lugar de lanzarse desde el resumen de una página web, como era el caso anterior, lo hace desde un invitación de calendario que no debe ni de ser aceptada.

Figura 3: Check my accounting event today en Perplexity Comet

La gracia es que haciendo una comprobación del Invite, si le dejas a Perplexity que te ayude a preparar la reunión, y dices que sí, se lanza el ataque de Prompt Injecion oculto den los detalles de la convocatoria. 

Figura 4: Nos ofrece ayuda para preparar la reunión

Una vez que se diga que sí, lo que hace el ataque de Prompt Injeciton que se oculta en los detalles de la invitación al evento, es conectarse a la cuenta de Stripe asociada al navegador de Perplexity Comet, y comenzar a borrar las suscripciones de los clientes.

Figura 5: Al acceder a la ayuda, se borran las suscripciones de Stripe

Este proceso se realiza una a una con todas y cada una de las suscripciones que hubiera logrado esa empresa, dejándola sin poder cobrar ese mes a sus clientes. Solo por haber usado Perplexity Comet para ayudar a preparar una reunión.

Figura 6: Se eliminan todas las suscripciones

El resultado final es que la cuenta de Stripe se queda como podéis ver, totalmente pelada. La organización ha perdido todas las suscripciones, y tocará recrear todo este trabajo, que ha sido ejecutado automáticamente por el Agentic AI de tu Perplexity Comet.

Figura 7: Cuenta de Stripe totalmente vacía de clientes

Vamos, que podría haber hecho cualquier otra cosa en tu cuenta de Stripe, y si tienes concedido derechos de pago a tu Agentic AI de Perplexity Comet te podría haber robado todo el dinero. Un auténtico "Show me the (e-)money".

Figura 8: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)

Al final, este tipo de ataques basados en AI-First Web Browsers va a ser muy común hasta que esta tecnología sea segura. Y va a pasar aún un tiempo. Para que os hagáis una idea, en el Bug Bounty de OpenAI para sus productos, la parte que tiene que ver con Prompt Injection / Jailbreak, así como todo lo que tiene que ver con Hallucinations, está fuera de objetivo.

Figura 9: Bug Bounty de OpenAI

Es decir, ya se sabe que estas tecnologías adolecen por diseño de seguridad, y por eso estamos teniendo tantos problemas de seguridad explotable en todas las plataformas que están haciendo uso de ellos, como vimos en:

• EchoLeak: Un Cross Prompt Injection Attack (XPIA) para Microsoft Office 365 Copilot
• Google Gemini para Gmail: Cross-Domain Prompt Injection Attack (XPIA) para hacer Phishing
• Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing
• Hacking IA: Indirect Prompt Injection en Perplexity Comet
• ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
• ForcedLeak: Indired Prompt Injection en Salesforce AgentForce
• AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados

OpenAI Atlas  AI-First Web Browser

Pero es que ChatGPT Atlas, sucede lo mismo, y si miramos el texto de la publicación de ChatGPT Atlas AI-First Web Browser tenemos un disclaimer como el que podéis ver en la imagen siguiente, que, traducido al Español para que se entienda claramente es lo que antes sería un gran problema de seguridad.

Figura 10: ChatGPT Atlas Disclaimer

Pero hemos pasado de recomendarle a los usuarios que naveguen con usuarios No Administradores de la máquina, a poner en sus manos AI First Web Browsers que tienen acceso y control a toda tu vida digital, incluidas tus cuentas bancarias si les dejas. Mi recomendación por ahora... no lo hagas.

Figura 11: ChatGPT Atlas Disclaimer en Español

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)