Resumo
- Pesquisadores da Radware realizaram o ataque Shadow Leak, que usou injeção de prompts para extrair dados do Gmail.
- A vulnerabilidade explorava a ferramenta Deep Research do ChatGPT, permitindo a execução de instruções ocultas para acessar dados sigilosos.
- O problema, comunicado à OpenAI em junho, já foi resolvido, mas também poderia comprometer serviços como o Outlook e Google Drive.
É possível usar o ChatGPT como aliado em ataques para extrair dados sensíveis do Gmail. Foi o que pesquisadores de segurança da Radware conseguiram demonstrar com um ataque de injeção de prompts. A falha já foi corrigida pela OpenAI, mas permitiu extrair dados da caixa de entrada sem que os usuários percebessem.
O ataque recebeu o nome de Shadow Leak e foi divulgado na última semana pela empresa de segurança cibernética. A técnica explorava agentes de IA — sistemas capazes de executar tarefas sem supervisão contínua, como navegar na web, acessar documentos e interagir com e-mails após autorização do usuário.
Como o ataque funcionava?
O método consistia em usar uma técnica conhecida como “injeção de prompt”. Trata-se de inserir instruções ocultas para que o agente siga comandos de um invasor sem que o usuário tenha consciência disso.
Esse tipo de ataque já foi usado em diferentes contextos, desde manipulação de avaliações até golpes financeiros. As instruções podem ser escondidas no HTML do e-mail de forma imperceptível para humanos, como fontes minúsculas ou em um texto branco sobre fundo branco.
No caso do Shadow Leak, o alvo foi a ferramenta Deep Research, recurso da OpenAI integrado ao ChatGPT e lançado neste ano. Os pesquisadores enviaram um e-mail contendo um prompt malicioso para uma conta do Gmail que tinha acesso ao agente. Assim que o usuário ativava o Deep Research, a armadilha era acionada: o sistema encontrava as instruções escondidas, que ordenavam a busca por mensagens de RH e dados pessoais, enviando as informações secretamente para os golpistas. O usuário não notava nada de anormal.
Segundo a Radware, executar esse ataque exigiu muitos testes até chegar a um resultado viável. “Esse processo foi uma montanha-russa de tentativas fracassadas, obstáculos frustrantes e, finalmente, uma descoberta”, escreveram os pesquisadores.
Outros serviços em risco
Um aspecto que chamou atenção é que, diferentemente da maioria dos ataques de injeção de prompts, o Shadow Leak foi executado diretamente na infraestrutura em nuvem da OpenAI. Isso fez com que a extração de dados ocorresse sem deixar rastros visíveis para as defesas tradicionais de segurança cibernética.
A Radware destacou ainda que a vulnerabilidade poderia afetar não apenas o Gmail, mas também outros serviços conectados ao Deep Research, como Outlook, GitHub, Google Drive e Dropbox.
De acordo com a empresa, “a mesma técnica pode ser aplicada a esses conectores adicionais para extrair dados empresariais altamente sensíveis, como contratos, notas de reunião ou registros de clientes”.
A falha foi comunicada à OpenAI em junho e já recebeu correção. Ainda assim, os pesquisadores reforçam que ataques desse tipo mostram como a evolução de agentes de IA traz benefícios, mas também abre novas superfícies de risco para usuários e empresas.
Com informações do The Verge