A CLM, distribuidora latino-americana especializada em segurança da informação, repercute um alerta da Skyhigh Security sobre um suposto vazamento de dados envolvendo o chatbot de inteligência artificial OmniGPT. O incidente, divulgado no fórum hackhead.com, teria exposto dados pessoais de 20 mil usuários, além de mais de 34 milhões de registros de conversas.
Segundo as informações publicadas, o hacker responsável pela invasão teve acesso a e-mails, números de telefone, links para arquivos enviados e até credenciais, prompts confidenciais, chaves de API e informações de cobrança. O caso reacende o debate sobre a real capacidade dessas plataformas em proteger os dados que coletam.
Uma “caixa preta” que armazena tudo — e pode ser violada
“O grande volume de dados pessoais, financeiros e conversas trocadas com sistemas de IA significa que uma violação pode ter consequências incalculáveis”, alerta Francisco Camargo, CEO da CLM.
Ele destaca o caráter cada vez mais humano desses chats, o que leva os usuários a depositarem um nível elevado de confiança nas interações. “Queremos o mesmo sigilo e confiança nas conversas com a IA que temos com outros humanos”, completa.
Esse comportamento, segundo a Skyhigh, é agravado pela falta de visibilidade que os usuários têm sobre o armazenamento e manipulação das informações compartilhadas. A combinação de excesso de confiança, volume de dados sensíveis e sistemas pouco transparentes forma um terreno fértil para incidentes como o do OmniGPT.
A falha foi no back-end — e os usuários não tinham como evitá-la
Diferentemente de muitos vazamentos que ocorrem por descuidos dos usuários, este caso foi resultado de uma falha estrutural no back-end da plataforma. Ou seja, nenhuma ação individual poderia ter evitado o incidente.
A Skyhigh destaca que centenas de novos serviços de IA são lançados semanalmente, mas os times de segurança das empresas não conseguem acompanhar essa velocidade. Isso leva à adoção apressada, sem avaliação criteriosa de riscos, o que torna a segurança uma preocupação secundária.
A IA exige um novo modelo de governança
Especialistas da CLM alertam que educar os usuários é essencial, mas que isso, por si só, não basta. É preciso tratar a IA com o mesmo rigor aplicado a outros ativos críticos dentro das organizações.
A rápida disseminação desses sistemas, muitas vezes fora do controle da TI — prática conhecida como IA sombra —, expõe as empresas a riscos legais, financeiros e reputacionais.
A visibilidade e a governança precisam andar lado a lado com a inovação. O foco da segurança da informação deve se expandir para contemplar os riscos invisíveis dos algoritmos e dos modelos de linguagem, com especial atenção à proteção de dados confidenciais, independentemente da plataforma onde são compartilhados.
