Article in nlNederlands Article in enEnglish Article in frFrançais Article in deDeutsch Article in esEspañol Article in ptPortuguês

Vulnerabilidade no ChatGPT permitia vazamento de dados via e-mail

Author: Sebastian Ivanov
Publicado:
Category: Ai
Idioma: Português
Avaliar o artigo:
0
0

Pesquisadores de segurança descobriram vulnerabilidade no ChatGPT que permitia comandos ocultos em e-mails manipularem a IA e vazarem dados sensíveis de serviços conectados como Gmail.

vulnerabilidade-chatgpt-dados-email

Vulnerabilidade de segurança em IA: ChatGPT manipulado via comandos ocultos de e-mail

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no ChatGPT da OpenAI que permitia aos atacantes manipular o chatbot de IA através de e-mails aparentemente inofensivos, o que poderia levar ao vazamento de dados sensíveis de serviços conectados como o Gmail.

O método de ataque ShadowLeak

Pesquisadores da empresa de segurança cibernética Radware batizaram este ataque avançado de "ShadowLeak". A vulnerabilidade, que já foi corrigida pela OpenAI, utilizava comandos ocultos no código HTML de e-mails que eram invisíveis para destinatários humanos, mas podiam ser executados pelo ChatGPT.

Quando os usuários conectavam o ChatGPT às suas contas do Gmail e pediam à IA para analisar seus e-mails, os prompts ocultos eram automaticamente ativados. "Isso representa uma nova frente em ameaças de segurança de IA, onde a superfície de ataque vai além dos endpoints tradicionais," explicou um porta-voz da Radware.

Como a exploração funcionava

A cadeia de ataque começava com criminosos cibernéticos enviando e-mails especialmente fabricados para vítimas em potencial. Esses e-mails continham código HTML malicioso que era invisível para os usuários, mas detectável pelo ChatGPT ao processar o conteúdo do e-mail. Uma vez ativados, os comandos ocultos podiam ordenar que o ChatGPT extraísse informações sensíveis da conta do Gmail da vítima e as enviasse para servidores externos.

O que tornava essa vulnerabilidade particularmente perigosa era seu caráter baseado em nuvem. Diferente de ataques tradicionais que visam dispositivos de usuários, o ShadowLeak operava completamente dentro do ambiente de nuvem do ChatGPT, contornando assim as medidas de segurança convencionais.

Implicações mais amplas para segurança de IA

Embora a demonstração tenha se concentrado no Gmail, os pesquisadores confirmaram que vulnerabilidades semelhantes poderiam afetar outros serviços integrados com o Deep Research Agent do ChatGPT, incluindo Outlook, Dropbox, Google Drive e SharePoint. A descoberta destaca os crescentes desafios de segurança à medida que os sistemas de IA se integram mais profundamente com fontes de dados pessoais e empresariais.

A OpenAI respondeu prontamente à revelação e implementou correções que previnem tais tentativas de manipulação. No entanto, o incidente serve como um lembrete claro da evolução do cenário de ameaças na era da inteligência artificial.