Zero-click: Ataque em navegador agentic permite apagar todo o Google Drive usando apenas um e-mail

Um novo ataque envolvendo navegadores agentic colocou em evidência riscos críticos associados a assistentes baseados em IA. Pesquisadores da Straiker STAR Labs descobriram que o navegador Comet, da Perplexity, pode ser explorado por meio de um simples e-mail sem qualquer clique do usuário para apagar completamente todo o conteúdo do Google Drive de uma vítima.

A técnica, batizada de Zero-Click Google Drive Wiper, explora o fato de que o navegador agentic se conecta automaticamente a Gmail e Google Drive para executar tarefas rotineiras, como ler mensagens, organizar arquivos e excluir itens. Usuários podem dar comandos aparentemente inocentes, como “verifique meu e-mail e conclua minhas tarefas de organização”, permitindo que o agente interprete instruções em mensagens recebidas e tome ações de forma autônoma.

Segundo a pesquisadora Amanda Rousseau, o problema está na “agência excessiva” desses assistentes, que acabam executando ações que vão muito além do que o usuário pediu. Um invasor pode aproveitar esse comportamento enviando um e-mail cuidadosamente elaborado com instruções naturais, educadas e sequenciais, disfarçadas como orientações de rotina. O agente interpreta a mensagem como uma tarefa legítima de organização e executa comandos destrutivos como excluir arquivos específicos, limpar diretórios inteiros ou mover conteúdos críticos para a lixeira sem pedir autorização ao usuário.

O ataque é particularmente perigoso porque não depende de jailbreak ou prompt injection tradicional. Basta um e-mail educado, contendo expressões como “cuide disso”, “faça isso por mim” ou “organize meus arquivos”, para que o modelo passe a obedecer a comandos ocultos. Com acesso OAuth ao Gmail e ao Google Drive, as instruções maliciosas ainda podem se espalhar rapidamente para pastas compartilhadas e drives de equipe, ampliando o impacto.

Os pesquisadores alertam que o risco envolve não apenas o modelo de IA, mas toda a arquitetura ao redor do agente, incluindo conectores, permissões e a forma como ele interpreta linguagem natural. “Assistentes agentic transformam prompts rotineiros em sequências de ações poderosas”, afirmou Rousseau. “Quando essas ações são influenciadas por conteúdo não confiável, especialmente e-mails bem estruturados, surge uma nova classe de ataques zero-click capazes de apagar dados em larga escala.”

HashJack: ataque usa fragmentos de URL para manipular navegadores com IA

O alerta veio acompanhado de outra descoberta preocupante. Pesquisadores da Cato Networks demonstraram o HashJack, uma técnica de ataque que esconde comandos maliciosos no fragmento de uma URL a parte após o símbolo “#”. O invasor envia links aparentemente legítimos, como www.example.com/home#<prompt>, que contêm instruções ocultas para enganar navegadores com IA.

Quando o usuário acessa o link e realiza uma pergunta ao assistente do navegador, o agente interpreta o fragmento como um comando e o executa automaticamente. “O HashJack é a primeira técnica de prompt injection indireto capaz de transformar qualquer site legítimo em um vetor de manipulação de navegadores com IA”, explicou o pesquisador Vitaly Simonovich.

Após divulgação responsável, Google classificou o ataque como “não será corrigido (comportamento intencional)” e de baixa severidade. Já a Perplexity e a Microsoft lançaram correções para o Comet (v142.0.7444.60) e Edge (142.0.3595.94). Claude para Chrome e OpenAI Atlas não foram afetados. Google reforçou que bypasses de políticas e violações de guardrails não são considerados vulnerabilidades dentro do seu AI Vulnerability Reward Program (AI VRP).

Via - THN