A Tenable, empresa global de gestão de exposição, revelou sete vulnerabilidades críticas no ChatGPT-4o, da OpenAI, algumas ainda presentes no ChatGPT-5. O conjunto de falhas, batizado de HackedGPT, expõe brechas que permitem contornar mecanismos de segurança e realizar a exfiltração de dados pessoais, incluindo históricos de conversas e memórias armazenadas.
Embora parte dos problemas já tenha sido corrigida, a Tenable informou que outras vulnerabilidades permaneciam ativas no momento da divulgação, deixando abertas rotas de exploração. Com milhões de usuários diários em todo o mundo, as implicações são significativas, especialmente na América Latina, onde a adoção de ferramentas de inteligência artificial generativa supera a média global, ampliando a relevância do tema para a região.
Uma nova classe de ataques
As falhas descritas pela Tenable revelam o surgimento de uma nova categoria de ameaças, conhecida como injeção indireta de prompt. Nesse tipo de ataque, instruções ocultas inseridas em sites ou comentários podem enganar o modelo de IA e levá-lo a executar ações não autorizadas. O problema afeta as funções de navegação web e memória do ChatGPT, que lidam com dados em tempo real e informações armazenadas de usuários.
Os pesquisadores demonstraram que os ataques podem ocorrer de forma silenciosa. Em alguns casos, basta fazer uma pergunta ao ChatGPT para que o comprometimento aconteça, configurando o que chamam de ataque “0-clique”. Em outros, um simples clique em um link aparentemente inofensivo pode ativar comandos invisíveis, caracterizando o ataque “1-clique”.
Ainda mais preocupante é a chamada injeção de memória persistente, em que instruções maliciosas são gravadas na memória de longo prazo do ChatGPT e continuam ativas mesmo após o fechamento da aplicação. Essa técnica permite que informações privadas sejam expostas em futuras interações até que a memória seja completamente apagada.
“O HackedGPT expõe uma fraqueza fundamental em como os grandes modelos de linguagem julgam em qual informação confiar”, explicou Moshe Bernstein, engenheiro de Pesquisa Sênior da Tenable. “Individualmente, essas falhas parecem pequenas, mas juntas formam uma cadeia de ataque completa, da injeção e evasão ao roubo de dados e persistência. Isso demonstra que os sistemas de IA não são apenas alvos potenciais, eles podem se tornar ferramentas de ataque que coletam informações silenciosamente de chats ou navegações cotidianas.”
Impactos e resposta do setor
A Tenable classificou as descobertas como um alerta para toda a indústria de inteligência artificial. Segundo a empresa, as vulnerabilidades abrem caminho para ações como o roubo de dados sensíveis, a manipulação de respostas, a ocultação de conteúdo malicioso e a disseminação de desinformação. Também foi identificado que atacantes podem explorar brechas em sites confiáveis ou usar técnicas de formatação para esconder instruções dentro de códigos markdown, o que torna a detecção ainda mais complexa.
A pesquisa foi conduzida com base em práticas de divulgação responsável, e a OpenAI corrigiu parte das falhas reportadas. No entanto, algumas ainda permanecem presentes no ChatGPT-5, o que mantém riscos residuais de comprometimento.
Recomendações de segurança e governança
A Tenable recomenda que as organizações passem a tratar as ferramentas de IA como superfícies de ataque ativas, e não apenas como assistentes passivos. O relatório destaca a necessidade de auditar integrações, investigar comportamentos incomuns e reforçar defesas contra a injeção de prompts e exfiltração de dados. Também recomenda a implementação de políticas de governança e classificação de informações para garantir o uso responsável da inteligência artificial em ambientes corporativos.
“Esta pesquisa não é apenas sobre expor falhas, é sobre mudar a maneira como protegemos a IA”, acrescentou Bernstein. “Pessoas e organizações precisam assumir que as ferramentas de IA podem ser manipuladas e criar controles de acordo. Isso significa governança, salvaguardas de dados e testes contínuos para garantir que esses sistemas trabalhem para nós, não contra nós.”
