Vazando vídeos privados de criadores no YouTube

Vulnerabilidade e mecânica do ataque

  • O ataque usa o resumidor de comentários por IA do YouTube Studio: um comentário malicioso embute instruções que fazem o LLM antepor um aviso com aparência oficial e gerar um link controlado pelo atacante.
  • O parâmetro de consulta do link é preenchido com metadados do canal que o LLM consegue ver (por exemplo, o título de um vídeo, potencialmente de vídeos privados/não listados). Quando clicado, isso vaza esses dados para o servidor do atacante.
  • Alguns usuários testaram e não conseguiram reproduzir; outros relatam que parece ter sido corrigido silenciosamente (por exemplo, sem links, ou a IA alerta sobre comentários com aparência de phishing).

Debate sobre gravidade e classificação

  • Um lado: isso é uma vulnerabilidade real porque:
    • Entrada não confiável do usuário (comentários) pode influenciar a saída da UI confiável (IA do Studio).
    • Os links parecem originar-se do YouTube, reduzindo a suspeita.
    • A não determinismo dos LLMs, somado à escala do YouTube, significa que mesmo uma baixa probabilidade de sucesso é perigosa.
  • O outro lado: o impacto é limitado:
    • Requer que o criador clique em um link suspeito; semelhante a phishing clássico.
    • Vaza apenas títulos ou URLs não listadas, não o conteúdo do vídeo; vídeos privados permanecem com controle de acesso.
    • A PoC de exemplo, como escrita, pode pressupor conhecimento que afirma exfiltrar.

Injeção de prompt, limites dos LLMs e mitigações

  • Muitos argumentam que a injeção de prompt é fundamentalmente impossível de corrigir: LLMs não separam de verdade “dados” de “instruções”.
  • Mitigações sugeridas:
    • Remover ou neutralizar links/HTML/Markdown na entrada e na saída do LLM.
    • Não dar aos agentes de sumarização acesso a dados privados do canal ou a ferramentas.
    • Usar instâncias separadas de LLM ou “patterns” para isolar conteúdo não confiável.
    • Adicionar enquadramento/avisos de que respostas da IA podem incluir conteúdo gerado por usuários.
  • Outros são céticos de que fronteiras de papel ou LLMs de monitoramento consigam deter ataques de forma confiável; veem isso como uma corrida armamentista.

Incentivos do Google/YouTube e tratamento do bug bounty

  • Alguns ex- e atuais Googlers descrevem incentivos internos (promo/GRAD) que favorecem novos recursos em vez de corrigir bugs sutis.
  • Outros contrapõem que a gravidade no VRP é definida por equipes especializadas de segurança e que o Google, em geral, tem uma boa cultura de segurança, mas está sobrecarregado por relatórios de baixa qualidade, muitas vezes gerados por IA.
  • Vários comentaristas observam um padrão: relatos rotulados como “não é um bug” e depois corrigidos silenciosamente, minando a confiança dos pesquisadores e os incentivos do bug bounty.

Confiança, engenharia social e riscos mais amplos

  • Mesmo que tecnicamente seja “apenas” engenharia social, a plataforma está:
    • Lavando instruções do atacante por meio da autoridade do YouTube (“IMPORTANT NOTICE FROM YOUTUBE”).
    • Criando novas superfícies de phishing (falsa cobrança, ações de conta, informações de votação desviadas, etc.).
  • Comentadores enfatizam que criadores médios provavelmente não distinguiriam alertas gerados por IA de mensagens reais da plataforma, tornando isso um sério problema de confiança e segurança para criadores.