Verborgen bedreigingen ontdekt in gekoppelde Google-diensten via ChatGPT

Onderzoekers ontdekten een kwetsbaarheid in de manier waarop ChatGPT is verbonden met Gmail en Google Calendar. De beveiliging blijkt zwakker dan gedacht wanneer gebruikers beide services koppelen. Een kwaadwillende uitnodiging in Google Calendar (agenda) kan misbruikt worden om toegang te krijgen tot privé-e-mails, aldus The Verge.

Het probleem ontstaat wanneer een gebruiker toestemming geeft aan ChatGPT om toegang te hebben tot Gmail én Google Agenda via de zogeheten native connectors. Een aanvaller stuurt vervolgens een event-uitnodiging met extra instructies (prompt injection) verborgen in de beschrijving of metadata van de uitnodiging. Wanneer een gebruiker ChatGPT vraagt iets te doen dat de Calendar-gegevens mag raadplegen, leest de AI ook die kwaadaardige instructie. Het resultaat is dat ChatGPT e-mails kan opzoeken en lekken zonder dat de gebruiker zich ervan bewust is.

Deze kwetsbaarheid werd aangetoond door beveiligingsonderzoeker Eito Miyamura. Hij liet zien dat de aanval werkt zodra de gebruiker de connectoren heeft geactiveerd en wanneer de uitnodiging wordt verwerkt en gebruikt door ChatGPT.

Voor gebruikers is het risico dat vertrouwelijke of persoonlijke informatie uit hun mailbox toegankelijk wordt via de AI-tool. Denk aan privé-conversaties, financieel belangrijke berichten of andere gevoelige inhoud. Omdat ChatGPT door de gebruiker gemachtigd is om Gmail en Calendar te gebruiken, lijkt het erop dat zulke aanvallen makkelijker succes kunnen hebben, afhankelijk van welke data gedeeld wordt.

Een ander gevaar is dat gebruikers niet beseffen hoeveel macht ze aan de AI geven als ze verbinding leggen tussen deze accounts. De toestemming om Agenda en Gmail aan elkaar te koppelen wordt door velen mogelijk als gemak gezien — bijvoorbeeld om automatisch te zien wat er op de agenda staat — maar het opent ook een bredere aanvalsvector.

OpenAI liet weten dat gebruikers de mogelijkheid hebben om die connectors uit te schakelen of de automatische toegang te beperken. In documentatie wordt geadviseerd om alleen agenda-uitnodigingen van bekende afzenders toe te laten, en om weiger-/weggestuurde uitnodigingen niet automatisch zichtbaar te maken op de agenda.

In augustus 2025 introduceerde OpenAI de native connectors voor Gmail, Google Calendar en Google Contacts, eerst voor Pro-gebruikers, later ook voor andere niveaus. Deze services stellen ChatGPT in staat om relevante info uit die bronnen te halen bij vragen zoals “Wat staat er vandaag op mijn agenda?”, of “Heeft iemand geantwoord op mijn mails?”.

De toevoeging van zulke leningen met persoonlijke gegevens – hoewel handig – vergroot ook de “aanvalsoppervlakte” van de systemen. Kwaadwillenden kunnen gebruikmaken van deze permissies door subtiele manipulaties (zoals verborgen instructies in data) die vaak lastig te detecteren zijn.

Gebruikers die bezorgd zijn worden geadviseerd om hun instellingen te controleren: schakel connectors alleen in als dat noodzakelijk is, beperk Agenda-uitnodigingen tot geverifieerde afzenders, en verberg of verwijder uitnodigingen die je niet vertrouwt. Daarnaast is het goed om te controleren welke machtigingen de AI-tool heeft: is die écht nodig voor wat je ermee wilt doen? Preventie, bewust gebruik en duidelijke toestemming zijn cruciaal.