Resumo do ShadowLeak e o que está em jogo
Publicado pela jornalista Marina Borges em vinte e dois de setembro de dois mil e vinte e cinco, às dez horas e quatro minutos, o tema ganhou as manchetes após pesquisadores da Radware revelarem um ataque que demonstra como o ChatGPT pode ser usado para extrair dados da caixa de entrada de Gmail por meio da injeção de prompts. O ataque, batizado ShadowLeak, explorou a ferramenta Deep Research — recurso do ChatGPT lançado neste ano — e revelou como instruções ocultas podem guiar o agente de IA a vasculhar mensagens sigilosas sem que o usuário perceba. A OpenAI reconheceu a falha e afirmou ter corrigido o problema.
De acordo com a Radware, o ataque demonstra que as vulnerabilidades em sistemas de IA podem ser exploradas de forma sutil, ampliando a superfície de risco para usuários individuais e organizações que utilizam serviços conectados a agentes de IA. Embora o foco tenha sido o Gmail, o relatório aponta que outros serviços também podem estar sob ameaça quando conectados ao Deep Research.
Segundo os pesquisadores, a técnica não requer acesso direto aos dispositivos do usuário; em vez disso, utiliza instruções ocultas inseridas no prompt para orientar o agente a coletar dados sensíveis de caixas de entrada, documentos vinculados e histórico de comunicação. O ataque envolve a criação de condições de instrução que permanecem invisíveis aos olhos humanos, dificultando a detecção por defesas tradicionais.
ShadowLeak foi executado diretamente na infraestrutura em nuvem da OpenAI, o que tornou a exfiltração de dados menos audível aos mecanismos de monitoramento convencionais. A Radware descreve que, ao acionar o Deep Research, o sistema captura as instruções escondidas e as transforma em ordens para vasculhar mensagens de RH e dados pessoais, transmitindo as informações secretamente aos invasores. O usuário, por sua vez, não nota anormalidades aparentes.
“Esse processo foi uma montanha-russa de tentativas fracassadas, obstáculos frustrantes e, finalmente, uma descoberta”, afirmaram os pesquisadores da Radware em relatos internos.
No caso em foco, a vulnerabilidade envolveu a ferramenta Deep Research, integrada ao ChatGPT e lançada neste ano. O ataque utilizou um e-mail contendo um prompt malicioso dirigido a uma conta do Gmail com acesso ao agente. Assim que o usuário ativava o Deep Research, as instruções ocultas eram acionadas, levando à busca por mensagens com dados sensíveis e ao envio secreto das informações para os atacantes.
Além do Gmail, a Radware aponta que outros serviços conectados ao Deep Research, como Outlook, Google Drive e Dropbox, também poderiam ser afetados. Segundo a empresa, a mesma técnica pode ser aplicada a conectores adicionais para extrair dados empresariais altamente sensíveis, como contratos, notas de reunião ou registros de clientes.
O estudo destaca que a execução ocorreu na infraestrutura de nuvem da OpenAI, diferentemente de muitos ataques de injeção de prompts realizados localmente. Esse detalhe, segundo a Radware, dificultaria a detecção por defesas de segurança cibernética tradicionais, que costumam monitorar apenas tráfegos e comportamentos em ambientes locais.
A falha foi comunicada à OpenAI em junho e já recebeu correção. Ainda assim, os pesquisadores ressaltam que ataques desse tipo exemplificam como a evolução de agentes de IA pode trazer benefícios — como automação e rapidez —, mas também impõe novos desafios para a proteção de dados em ambientes corporativos e indivíduos.
Com informações do The Verge
ChatGPTGmailOpenAIInteligência Artificial (IA)Google DriveGitHubDropbox