- Detectan en ChatGPT Atlas un vector de clipboard injection que permite al agente copiar enlaces maliciosos sin aviso.
- OpenAI reconoce riesgos con las prompt injections y activa Modo Desconectado y Modo de Vigilancia para mitigarlos.
- El fallo afecta especialmente al modo agente y recuerda problemas similares en otros navegadores con IA.
- Recomendaciones para España y la UE: limitar permisos, revisar el portapapeles y reforzar autenticación.
El lanzamiento de ChatGPT Atlas ha llegado con un aviso importante: investigadores han demostrado una vulnerabilidad de inyección de portapapeles que puede aprovechar el comportamiento del modo agente para sobrescribir el portapapeles del usuario con contenido malicioso.
Este tipo de ataque, conocido como clipboard injection, es especialmente delicado porque no requiere interacción consciente por parte del usuario: si el agente ejecuta acciones en una web manipulada, puede copiar enlaces o texto fraudulento que después se pega en otro contexto.
Cómo se descubrió el fallo y en qué consiste
Tras los primeros días de disponibilidad, un investigador que firma como @elder_plinius mostró que páginas con botones o scripts manipulados pueden inducir al agente de Atlas a ejecutar la acción «copiar al portapapeles» sin confirmación adicional.
OpenAI había indicado que en el modo agente Atlas no ejecuta código, no descarga archivos ni instala extensiones, pero sí puede copiar texto; ahí se abre la puerta a que una web inserte en el portapapeles un enlace de phishing o instrucciones no deseadas.
En la práctica, el agente interpreta elementos del DOM que ordenan copiar, sin analizar el contenido real que se inyecta; si el usuario pega después ese contenido en una barra de direcciones o formulario, puede acabar en una página falsa o entregar credenciales.
- El agente navega por una página con elementos maliciosos.
- Un botón o script dispara la acción de copiar al portapapeles.
- El portapapeles se rellena con una URL o texto manipulados.
- Al pegar, se activa la estafa (phishing, descarga o redirección).
El caso no es aislado en el ecosistema: soluciones de navegación con IA como Comet (Perplexity) han tenido hallazgos similares, lo que sugiere un patrón de riesgo común asociado a soluciones de navegación con IA que actúan de forma autónoma en páginas web.
Riesgos, alcance y posible impacto en Europa
El vector de clipboard injection puede derivar en robo de credenciales, redirecciones a sitios maliciosos y, en escenarios avanzados, automatización de acciones no deseadas si el usuario confía en lo copiado.
Expertos señalan que estos navegadores con IA amplían la superficie de ataque porque el agente lee, interpreta y actúa sobre el contenido de las páginas, lo que incrementa el riesgo frente a un navegador tradicional.
Para usuarios y organizaciones en España y la UE, el incidente reabre el debate sobre el principio de mínima exposición y la necesidad de configurar con cuidado permisos y credenciales, en línea con el espíritu del RGPD y las buenas prácticas promovidas por organismos de ciberseguridad.
Conviene recordar que, por ahora, ChatGPT Atlas está disponible en macOS. OpenAI prevé llevarlo a Windows y móviles más adelante, sin fechas concretas, por lo que las mitigaciones pueden evolucionar antes de su llegada a otros entornos.
- Robo de datos: enlaces falsos pueden capturar usuarios, contraseñas o códigos MFA.
- Phishing sigiloso: el portapapeles se convierte en un vector silencioso de redirección.
- Escalado del daño: agentes que automatizan tareas repiten el patrón en múltiples sitios.
Respuesta de OpenAI y medidas de mitigación recomendadas
OpenAI ha reconocido que los agentes pueden ser vulnerables a instrucciones ocultas y que la prompt injection sigue siendo un reto abierto. La empresa asegura haber intensificado la inversión en seguridad y desplegado respuestas rápidas ante campañas maliciosas.
La compañía ha activado dos modalidades para reducir el riesgo cuando el agente interactúa con la web, destinadas a contener el alcance de acciones potencialmente peligrosas:
- Modo Desconectado: el agente opera sin credenciales del usuario (sin contraseñas ni tokens), limitando el acceso a datos sensibles.
- Modo de Vigilancia: pausa la automatización en páginas delicadas (por ejemplo, banca) para que el usuario revise y confirme antes de ejecutar.
Mientras llega un parche específico para la inyección de portapapeles, varias prácticas ayudan a bajar el riesgo en el día a día, especialmente en entornos regulados europeos y administraciones públicas que manejan datos sensibles.
- Evitar usar el modo agente en sitios no confiables o con contenido dinámico de origen dudoso; priorizar navegación manual en operaciones críticas.
- Revisar el contenido del portapapeles antes de pegar (por ejemplo, pegando en un editor de texto) y verificar dominios al abrir URLs.
- Usar gestores de contraseñas para autocompletar credenciales y no pegarlas desde el portapapeles; activar MFA en todos los servicios.
- Restringir permisos del navegador y del agente a lo estrictamente necesario; segmentar cuentas de trabajo y personales para limitar el impacto.
- Mantener Atlas actualizado y aplicar parches de seguridad tan pronto como estén disponibles.
En paralelo, se anima a los desarrolladores de navegadores con IA a exigir gestos explícitos del usuario antes de escribir en el portapapeles, endurecer políticas de permisos de agentes y detectar patrones anómalos de copia para bloquearlos de forma preventiva.
Aunque Atlas incorpora barreras y controles progresivos, la combinación de automatización y navegación web hace que la prudencia del usuario sea la última línea de defensa. Adoptar hábitos de verificación y limitar privilegios minimiza las probabilidades de caer en trampas de portapapeles.
El caso de ChatGPT Atlas deja una lección clara para el ecosistema de navegadores con IA: cuanto más poder otorgamos al agente, mayor debe ser el control y la transparencia sobre lo que copia, pega y ejecuta; hasta que lleguen mejoras estructurales, conviene usar el modo agente con cabeza y permisos cerrados.