Investigadores de la firma Radware descubrieron un defecto de seguridad en la herramienta Deep Research de ChatGPT (de OpenAI), que permitía a actores maliciosos robar datos privados de cuentas de Gmail sin alertar al usuario.
El ataque, apodado Shadow Leak, explotaba la capacidad de Deep Research para acceder al correo Gmail del usuario y ejecutar lo que se conoce como prompt injection indirecta. En términos llanos: se inserta una instrucción oculta dentro de un correo (por ejemplo, con texto blanco sobre fondo blanco, imperceptible al ojo humano) que aguarda a que la víctima solicite una tarea legítima mediante Deep Research. En ese momento, el agente de IA lee la instrucción maliciosa escondida y comienza a extraer información — correos de recursos humanos, detalles personales u otros datos sensibles — para enviarlos a servidores controlados por los atacantes.
Esta falla no requería interacción especial, más allá de tener habilitado el acceso de Deep Research al correo Gmail del usuario.
Radware alertó a OpenAI de la vulnerabilidad en junio de 2025. Desde entonces, OpenAI ha aplicado un parche que corrige específicamente esta vulnerabilidad.
Además del riesgo inmediato para usuarios de Gmail, Radware advierte que técnicas similares podrían aplicarse a otros servicios conectados mediante Deep Research u agentes equivalentes, como Outlook, GitHub, Google Drive y Dropbox. Servicios que tienen datos sensibles — contratos, notas de reuniones, registros de clientes — podrían estar en riesgo si no se implementan defensas adecuadas.
En resumen, Shadow Leak demuestra que los agentes autónomos de IA, que actúan en nombre de usuarios sin supervisión constante, amplían la superficie de ataque: lo que los hace útiles también les da puntos vulnerables que pueden ser explotados.