Não é novidade que a inteligência artificial tem sido utilizada como mais uma ferramenta para expor e roubar dados pessoais. Um novo estudo revela que é possível usar o ChatGPT como ferramenta principal para o roubo de dados de utilizadores do Gmail e de outras plataformas ou aplicações que partilham informações com o popular chatbot da OpenAI.
Apelidado de Shadow Leak pelos investigadores de cibersegurança da Radware, este novo ataque — por enquanto apenas uma prova de conceito — faz uso da ferramenta Deep Research (“Pesquisa Profunda”, em tradução direta) para extrair discretamente dados de utilizadores do Gmail.
A Deep Research é uma funcionalidade de pesquisa autónoma do ChatGPT lançada no início deste ano. Como descreve a OpenAI, desenvolvedora do chatbot, o recurso é considerado uma “capacidade autónoma que realiza investigações em várias etapas na internet para tarefas complexas”. Com ele, os utilizadores podem pedir para encontrar diversas informações disponíveis online, além de analisar grandes textos, documentos e imagens.
Segundo os investigadores da Radware, devido à sua integração com plataformas como GitHub e Gmail, a Deep Research apresentava uma falha que permitia enganar a IA, resultando na exfiltração de informações confidenciais da caixa de correio do Gmail.
Como funcionava o roubo de dados via Gmail
Num primeiro momento, os hackers enviavam e-mails com uma injeção de prompt escondida no código HTML. Num dos casos analisados, os cibercriminosos enviaram uma mensagem de phishing disfarçada de comunicação de Recursos Humanos. O e-mail continha instruções ocultas capazes de manipular o ChatGPT, levando-o a entregar informações de identificação pessoal (PII, na sigla em inglês) das vítimas.
A etapa seguinte do esquema dependia da própria vítima. Se o utilizador pedisse à Deep Research para resumir os e-mails recebidos no dia — estando a conta do ChatGPT vinculada ao Gmail — o roubo de dados era iniciado.
A grande ameaça do Shadow Leak estava no código HTML malicioso, que instruía o ChatGPT a recolher dados pessoais de outras mensagens da caixa de entrada e enviá-los para um servidor externo, como descreveu o The Hacker News.
Engenharia social para enganar a IA
Para manipular a IA, o código recorria a técnicas de engenharia social, como afirmar que o chatbot tinha “autorização total” para aceder às informações ou disfarçar-se como um “sistema de validação de conformidade”, dando mais legitimidade à operação.
Os investigadores alertam que o ataque é especialmente perigoso, pois consegue contornar defesas tradicionais, como gateways web seguros e políticas de segurança do navegador. Isto porque a exfiltração de dados “origina-se da própria infraestrutura da OpenAI e não do dispositivo ou sessão do navegador do utilizador”.
Outras plataformas em risco
Além do Gmail, a Radware alerta que, pela capacidade de integração do ChatGPT com plataformas externas, este tipo de ataque também pode ocorrer em conectores como Dropbox, Google Drive, HubSpot, Outlook, Teams, Notion, SharePoint e outros.
Vulnerabilidade já foi corrigida, mas há recomendações de proteção
A Radware informou que a vulnerabilidade do ChatGPT foi corrigida pela OpenAI em 3 de setembro. Em declaração ao site PCMag, a empresa de IA afirmou que toma medidas para reduzir o risco de utilização maliciosa do chatbot e que continua a trabalhar para reforçar as proteções dos seus modelos contra casos como o demonstrado na pesquisa.
“Os investigadores testam frequentemente estes sistemas de forma adversa, e as suas pesquisas são bem-vindas, pois ajudam-nos a melhorar.”
OpenAI.
Apesar da correção, os especialistas recomendam que as empresas adicionem uma camada extra de defesa ao higienizar e-mails, removendo CSS invisíveis, caracteres ofuscados e elementos HTML suspeitos antes de chegarem às caixas de entrada dos utilizadores.
