Pesquisadores da LayerX descobriram uma vulnerabilidade crítica no ChatGPT Atlas, novo navegador com integração de inteligência artificial da OpenAI. O problema permite que invasores injetem comandos maliciosos diretamente na memória do chatbot, explorando o login obrigatório do serviço.
O ataque se baseia em uma técnica semelhante ao Cross-Site Request Forgery (CSRF) — ou “falsificação de solicitação entre sites”, em tradução livre. Nesse tipo de golpe, o criminoso convence o usuário a executar ações indesejadas em um aplicativo web sem consentimento. No caso do Atlas, a brecha é explorada por meio de scripts que se aproveitam da sessão autenticada do usuário para inserir instruções ocultas na memória da IA.
Uma vez inseridos, esses comandos permanecem ativos e são interpretados pelo chatbot como instruções legítimas. Assim, quando o usuário tenta utilizar o ChatGPT de forma normal, o sistema lê as instruções injetadas e as executa — o que pode permitir ao invasor acessar informações sensíveis, manipular o navegador, interferir em códigos escritos ou até interagir com outros sistemas logados pelo usuário.
A “memória” do ChatGPT foi inaugurada em fevereiro de 2024. O recurso permite que o chatbot se lembre de instruções específicas nas próximas interações com o usuário, mas sem que essa informação seja repetida no prompt.
Diferente de ataques CSRF tradicionais, que geralmente se limitam a ações únicas — como redefinir senhas ou realizar transações online —, a vulnerabilidade no ChatGPT Atlas é persistente. Isso significa que os comandos injetados continuam armazenados até que o usuário os remova manualmente. Pior: o ataque se propaga por todas as instâncias conectadas à mesma conta, incluindo o navegador, o chatbot na web e o aplicativo mobile.
Essa técnica reflete um risco crescente associado à integração profunda de assistentes de IA em plataformas pessoais, como clientes de e-mail, agendas e editores de documentos. Quando a IA não faz a devida higienização das entradas de comando, ela perde a capacidade de distinguir instruções legítimas de comandos maliciosos — abrindo uma porta perigosa para ataques automatizados.
Autonomia da IA também pode gerar problemas
O cenário se agrava com a popularização dos chamados “modos agênticos”, que conferem mais autonomia aos chatbots para executar tarefas de forma independente. Nesse contexto, uma instrução maliciosa pode permitir a criação de backdoors ou a exfiltração de dados sem qualquer supervisão do usuário.
Atualmente, o ChatGPT Atlas só tem versão para macOS. Versões para Windows, Android e iOS chegarão depois, sem data confirmada.
Quer saber mais sobre segurança digital e vulnerabilidades em ferramentas de IA? Acompanhe o TecMundo para se manter informado sobre as principais descobertas e ameaças do mundo da tecnologia.
