Vulnerabilidade grave no ChatGPT e em uma série de assistentes de IA: usuários são enganados, informações vazam...

A empresa israelense de segurança cibernética Zenity acaba de revelar a primeira vulnerabilidade “Zero Click” descoberta no serviço ChatGPT da OpenAI.

Esse tipo de ataque não exige que os usuários realizem nenhuma ação, como clicar em um link, abrir um arquivo ou se envolver em qualquer interação intencional, mas ainda pode obter acesso a contas e vazar dados confidenciais.

Mikhail Bergori, cofundador e CTO da Zenity, demonstrou em primeira mão como um hacker com apenas o endereço de e-mail de um usuário pode assumir o controle total das conversas, incluindo conteúdo passado e futuro, alterar o propósito da conversa e até mesmo manipular o ChatGPT para agir a favor do hacker.

Em sua apresentação, os pesquisadores mostraram que um ChatGPT comprometido poderia se tornar um "ator malicioso" que opera secretamente contra os usuários. Hackers poderiam fazer com que o ChatGPT sugerisse aos usuários que baixassem software infectado por vírus, dessem conselhos comerciais enganosos ou acessassem arquivos armazenados no Google Drive se a conta do usuário estivesse conectada. Tudo isso acontece sem o conhecimento do usuário.

A vulnerabilidade só foi totalmente corrigida depois que a Zenity notificou a OpenAI.

Além do ChatGPT, a Zenity também demonstrou ataques semelhantes contra outras plataformas populares de assistentes de IA. No Copilot Studio da Microsoft, pesquisadores descobriram uma maneira de vazar bancos de dados inteiros de CRM.

No caso do Salesforce Einstein, os hackers podem criar solicitações de serviço falsas para redirecionar todas as comunicações dos clientes para endereços de e-mail sob seu controle.

O Google Gemini e o Microsoft 365 Copilot também foram transformados em "atores hostis", realizando ataques de phishing e vazando informações confidenciais por meio de e-mails e eventos de calendário.

Em outro exemplo, a ferramenta de desenvolvimento de software Cursor, quando integrada ao Jira MCP, também foi explorada para roubar credenciais de desenvolvedor por meio de "tickets" falsos.

A Zenity afirmou que algumas empresas, como a OpenAI e a Microsoft, lançaram patches rapidamente após serem alertadas. No entanto, outras se recusaram a abordar o problema, argumentando que o comportamento era um "recurso de design" e não uma vulnerabilidade de segurança.

O grande desafio agora, segundo Mikhail Bergori, é que os assistentes de IA não estão apenas realizando tarefas simples, mas estão se tornando "entidades digitais" que representam os usuários – capazes de abrir pastas, enviar arquivos e acessar e-mails. Ele alertou que isso é como um "paraíso" para hackers, com tantos pontos de exploração.

Ben Kaliger, cofundador e CEO da Zenity, enfatizou que a pesquisa da empresa mostra que os métodos de segurança atuais não são mais adequados para a forma como os assistentes de IA operam. Ele pediu que as organizações mudem sua abordagem e invistam em soluções especializadas para poder controlar e monitorar as atividades desses "agentes".