O ChatGPT, a popular ferramenta de inteligência artificial da OpenAI, continua a ser um campo fértil tanto para inovações quanto para desafios de segurança. Recentemente, um relatório detalhado da Tenable Research trouxe à tona a descoberta de sete falhas críticas na plataforma, que podem permitir desde o roubo de dados de usuários até o controle indevido do chatbot. Para a comunidade de desenvolvedores e entusiastas de IA, entender essas vulnerabilidades é crucial para construir sistemas mais robustos e seguros.
A pesquisa da Tenable utilizou demonstrações de Prova de Conceito (PoC) para ilustrar como essas vulnerabilidades podem ser exploradas, revelando práticas preocupantes para a segurança digital. As principais ameaças identificadas giram em torno da conhecida falha de “injeção de prompt”.
A Injeção de Prompt em Detalhe
A “injeção de prompt” consiste no envio de instruções maliciosas a um Large Language Model (LLM), como o ChatGPT, de forma secreta. Ou seja, o usuário não percebe que está interagindo com dados comprometidos, pois essas instruções estão ocultas em uma fonte externa, como uma página da web ou um documento. Ao processar essa fonte, a IA executa os comandos maliciosos, comprometendo a integridade e a privacidade das interações.
Detalhes Técnicos: A injeção de prompt explora a capacidade dos LLMs de processar e reagir a dados de entrada. Se uma parte do input for uma instrução maliciosa disfarçada, o modelo pode priorizá-la ou executá-la inadvertidamente, permitindo que o atacante manipule o comportamento da IA ou exfiltre informações.
Como os Ataques Ocorrem na Prática
Os especialistas identificaram duas formas principais de como as falhas do ChatGPT podem ser exploradas:
Falha no ChatGPT permite roubo de dados do usuário sem que ele perceba (Imagem: Matheus Bertelli/Pexels)
Através de Conteúdo Externo Manipulado: Um atacante pode inserir um prompt malicioso em um comentário de blog, por exemplo. Se um usuário pedir ao ChatGPT para resumir o conteúdo dessa página, a IA pode ser enganada e executar o comando oculto, expondo dados ou realizando ações não intencionais.
Ataque de Clique Zero em Sites Indexados: Nesse cenário, um hacker pode criar um site com código malicioso e garantir que ele seja indexado por ferramentas de busca que o ChatGPT utiliza. Se a IA, de forma autônoma ou em resposta a uma consulta, interagir com esse site, o código malicioso pode ser processado sem qualquer ação direta do usuário, comprometendo a interação ou o histórico.
Ataques Persistentes e o Risco da Injeção de Memória
Um dos achados mais alarmantes da Tenable Research é a capacidade desses ataques de evadir os sistemas de segurança da IA e, ainda mais grave, de se tornarem persistentes. Os pesquisadores cunharam o termo “memory injection” (injeção de memória) para descrever uma falha que permite que prompts comprometidos sejam salvos no histórico permanente do usuário do ChatGPT.
Cibercriminosos conseguem roubar informações das vítimas com a injeção de prompts maliciosos (Imagem: Reprodução/Boston Institute of Analytics).
Isso significa que, mesmo após a interação inicial, o código malicioso permanece ativo. Toda vez que o usuário interage novamente com o chatbot, ele corre o risco de ter dados sensíveis roubados. Além disso, os cibercriminosos descobriram que a utilização de links de rastreamento do Bing pode ser uma forma eficaz de coletar informações pessoais dos usuários de maneira imperceptível, adicionando uma camada extra de preocupação.
Desafios para o Futuro da Segurança em IA
As análises da Tenable Research evidenciam um desafio crescente: como a própria IA pode ser ludibriada por atividades criminosas, seguindo instruções corrompidas que o usuário final não consegue identificar. Este é um sinal de alerta para toda a indústria de IA, que precisa inovar em métodos de defesa contra essa nova geração de ataques.
“A injeção de prompts é o principal risco de segurança para sistemas baseados em LLM por um motivo. A recente pesquisa sobre o ChatGPT mostra como é fácil para os criminosos inserirem instruções ocultas em links, markdown, anúncios ou no histórico, fazendo com que o modelo execute ações para as quais nunca foi projetado”, esclareceu James Wickett, especialista em cibersegurança, em entrevista ao Hack Read.
A OpenAI já foi notificada sobre essas falhas de segurança, que foram confirmadas nos modelos ChatGPT 4o e GPT-5. A Vibe Coding Brasil estará atenta aos próximos passos e às soluções que serão implementadas para mitigar esses riscos, mantendo nossa comunidade de desenvolvedores sempre informada e preparada para os desafios da cibersegurança na era da Inteligência Artificial.