Você confia plenamente nas conversas que mantém no ChatGPT? Recentemente, pesquisadores da Tenable descobriram que essa confiança pode estar mais vulnerável do que muitos imaginam. Foram identificadas sete falhas críticas nos modelos GPT-4o e GPT-5, que podem ser exploradas para roubar dados e históricos de chat de usuários, mesmo sem que eles percebam.
As novas vulnerabilidades no ChatGPT representam um alerta para o uso de LLMs (Modelos de Linguagem de Grande Escala) em atividades que envolvem informações sensíveis. Entre as falhas descobertas, técnicas de injeção indireta de prompts se destacam, permitindo que instruções maliciosas sejam inseridas no modelo via sites confiáveis ou pesquisas automáticas, criando riscos reais para usuários comuns, desenvolvedores e profissionais de segurança cibernética.
Neste artigo, vamos detalhar o que foi encontrado pela Tenable, explicar como funcionam os ataques mais sofisticados, e contextualizar essas falhas dentro do crescente cenário de ameaças a LLMs, mostrando o impacto direto para quem utiliza o ChatGPT no dia a dia.
Sete brechas no coração da IA: O que a Tenable descobriu?
A pesquisa foi conduzida por Moshe Bernstein e Liv Matan, especialistas em segurança da Tenable, focando em identificar vulnerabilidades que permitissem a extração de dados ou o comportamento inesperado do ChatGPT. Segundo o relatório, algumas falhas já foram corrigidas pela OpenAI, mas o núcleo do problema — a injeção de prompts — ainda permanece um desafio complexo de resolver.
Entre as sete vulnerabilidades mais críticas, destacam-se:
- Exposição de histórico de chat: É possível que instruções maliciosas manipulem o modelo a revelar conversas anteriores do usuário.
- Injeção indireta de prompts: Sites externos podem inserir comandos que o ChatGPT executa sem autorização explícita.
- Ataques via links confiáveis: Links aparentemente legítimos podem esconder comandos que enganam o modelo.
- Envenenamento de memória: Instruções maliciosas podem contaminar a sessão do chat, fazendo a IA se comportar de forma inesperada.
- Ocultação de código malicioso: Falha no processamento de Markdown permite esconder comandos que só a IA enxerga.
- Bypass de mecanismos de segurança: Técnicas que exploram URLs de rastreamento do Bing para driblar filtros.
- Ataques sem interação direta: Alguns métodos permitem acionar prompts maliciosos sem qualquer clique do usuário.
Esses pontos mostram que a superfície de ataque do ChatGPT vai muito além do que um usuário comum poderia imaginar.
O ataque mais perigoso: Entendendo a injeção indireta de prompt
A injeção indireta de prompt é o vetor que mais preocupa especialistas. Diferente de ataques tradicionais que exigem cliques ou downloads, esses métodos exploram a forma como a IA processa informações externas, inserindo instruções maliciosas de maneira quase invisível.
O ataque “sem clique” (No-Click)
Neste tipo de ataque, o simples fato de o ChatGPT buscar informações na web através do SearchGPT pode acionar um comando malicioso. Por exemplo, se um site malicioso for indexado pelo Bing ou OpenAI, o modelo pode acessar e executar instruções sem que o usuário tenha interagido diretamente, expondo dados sensíveis automaticamente.
O ataque “um clique” (One-Click) e sites confiáveis
Mesmo links aparentemente inofensivos, como chatgpt.com/?q=…, podem conter comandos escondidos. Invasores podem aproveitar seções de comentários ou textos de sites confiáveis que o ChatGPT resume ou processa. O resultado? A IA segue instruções sem que o usuário perceba que foi induzida a isso.
Bypass de segurança usando o Bing
Pesquisadores também demonstraram que é possível mascarar URLs maliciosos usando links de rastreamento do bing.com, que estão na lista de permissões do modelo. Isso cria uma “porta de entrada” para que comandos escondidos sejam processados sem acionar alertas ou bloqueios da IA.
Mais do que prompts: “Envenenamento” de memória e ocultação de código
As falhas não se limitam a prompts maliciosos. Técnicas adicionais identificadas incluem:
- Injeção de conversa e memória: Um site pode “ensinar” o ChatGPT a se comportar de maneira anormal, fazendo com que informações sensíveis vazem em respostas futuras.
- Ocultação de conteúdo malicioso: A falha no render de Markdown (“`) permitia esconder código que só a IA interpreta, deixando o usuário sem perceber que instruções perigosas estavam sendo processadas.
Esses métodos mostram como a manipulação de LLMs pode ir além do convencional, exigindo atenção constante de quem desenvolve ou utiliza sistemas baseados em IA.
Um problema sem solução fácil? O contexto dos ataques a LLMs
Essas descobertas reforçam que ataques a LLMs não são incidentes isolados. Técnicas como PromptJacking, CamoLeak (no GitHub Copilot) e LatentBreak mostram que a segurança de modelos de linguagem é um campo de batalha em constante evolução.
Segundo os pesquisadores da Tenable, a injeção de prompts é um problema conhecido e de difícil correção sistêmica, pois envolve a própria forma como o modelo interpreta e executa instruções externas.
Conclusão: O que muda para você?
O caso das novas vulnerabilidades no ChatGPT evidencia que a exposição de chatbots a ferramentas externas, como pesquisa na web, aumenta significativamente a superfície de ataque. Usuários e desenvolvedores precisam estar conscientes de que qualquer dado sensível colocado em sistemas de IA pode, teoricamente, ser alvo de exploração.
No futuro, técnicas de envenenamento de dados e o chamado Pacto de Moloch — uma competição entre empresas que pode priorizar velocidade de lançamento sobre segurança — devem continuar desafiando a proteção de LLMs.
A pergunta que fica é: você confia em colocar seus dados sensíveis em chatbots de IA? As descobertas da Tenable mostram que o cuidado nunca é demais. Compartilhe sua opinião nos comentários e fique atento às atualizações de segurança do ChatGPT.
