Publicidade
Especialistas em cibersegurança alertam que o novo navegador da OpenAI, o ChatGPT Atlas, pode ser vulnerável a ataques maliciosos que transformariam assistentes de IA contra os próprios usuários, podendo roubar dados sensíveis ou até esvaziar suas contas bancárias.
A empresa de IA lançou o Atlas na terça-feira com o objetivo de apresentar um navegador de IA que, futuramente, possa ajudar os usuários a executar tarefas na internet, além de buscar respostas. Alguém planejando uma viagem, por exemplo, poderia usar o Atlas para buscar ideias, planejar um roteiro e, em seguida, pedir para reservar voos e acomodações diretamente.
Solução em IA promete eliminar tarefas manuais e acelerar produtividade de assessores
Desenvolvida pela Smartbrain, a ferramente utiliza inteligência artificial para, por exemplo, automatizar a leitura de extratos em PDF com movimentações financeiras
CEO da Nokia compara aumento da IA ao boom da internet, mas minimiza temores de bolha
As declarações de Justin Hotard foram feitas em meio ao crescente debate sobre a sustentabilidade do aumento dos investimentos em IA
O ChatGPT Atlas traz várias novidades, como as “memórias do navegador”, que permitem ao ChatGPT lembrar detalhes importantes da navegação do usuário para melhorar as respostas e oferecer sugestões mais inteligentes, e um modo experimental chamado “agent mode”, no qual o ChatGPT pode assumir o controle da navegação e interagir com páginas da web em nome do usuário.
FERRAMENTA GRATUITA
Simulador da XP
Saiba em 1 minuto quanto seu dinheiro pode render
O navegador faz parte de uma estratégia maior da empresa para expandir o ChatGPT de um aplicativo para uma plataforma computacional mais ampla. Isso coloca a OpenAI em competição direta com Google e Microsoft, além de novos concorrentes como a Perplexity, que lançou seu próprio navegador com IA, chamado Comet. (O Google também integrou seu modelo de IA Gemini ao navegador Chrome.)
No entanto, especialistas em cibersegurança alertam que todos os navegadores de IA atuais apresentam novos riscos de segurança, especialmente no que se refere à chamada “injeção de prompt” — um tipo de ataque em que instruções maliciosas são dadas a um sistema de IA para que ele se comporte de maneiras não intencionais, como revelar informações sensíveis ou executar ações prejudiciais.
“Sempre haverá riscos residuais em torno das injeções de prompt porque essa é a natureza dos sistemas que interpretam linguagem natural e executam ações”, disse George Chalhoub, professor assistente do UCL Interaction Centre, à Fortune. “No mundo da segurança, é um jogo de gato e rato, então podemos esperar que outras vulnerabilidades surjam.”
Continua depois da publicidade
O problema central é que os navegadores de IA podem não distinguir entre as instruções escritas por um usuário confiável e o texto presente em páginas da web não confiáveis. Isso significa que um hacker poderia criar uma página com instruções para que qualquer modelo que a visite, por exemplo, abra o e-mail do usuário em uma nova aba e exporte todas as mensagens para o atacante. Em alguns casos, os invasores escondem essas instruções — usando texto branco em fundo branco, por exemplo, ou código de máquina em algum lugar do site — que são difíceis para um humano perceber, mas que o navegador de IA lerá.
“O principal risco é que ele colapse a fronteira entre dados e instruções: pode transformar um agente de IA em um navegador de uma ferramenta útil para um vetor de ataque contra o usuário”, acrescentou Chalhoub. “Ele pode extrair todos os seus e-mails e roubar seus dados pessoais do trabalho, acessar sua conta do Facebook e roubar suas mensagens, ou extrair todas as suas senhas, dando ao agente acesso irrestrito a todas as suas contas.”
Em um post no X, Dane Stuckey, diretor de segurança da informação da OpenAI, afirmou que a empresa está “pesquisando e mitigando cuidadosamente” os riscos relacionados às injeções de prompt.
“Nossa meta a longo prazo é que você possa confiar no agente ChatGPT para usar seu navegador, da mesma forma que confiaria no seu colega ou amigo mais competente, confiável e consciente de segurança”, escreveu. “Para este lançamento, realizamos extensos testes de segurança, implementamos técnicas inovadoras de treinamento para recompensar o modelo por ignorar instruções maliciosas, adotamos múltiplas barreiras e medidas de segurança, e adicionamos novos sistemas para detectar e bloquear esses ataques. No entanto, a injeção de prompt continua sendo um problema de segurança inexplorado, e nossos adversários gastarão tempo e recursos significativos para encontrar formas de fazer o agente ChatGPT cair nesses ataques.”
Stuckey disse que a empresa implementou várias medidas para mitigar riscos e proteger os usuários, incluindo sistemas de resposta rápida para detectar e bloquear campanhas de ataque rapidamente, além de continuar investindo em pesquisa, segurança e segurança para fortalecer a robustez do modelo e as defesas da infraestrutura. A empresa também oferece recursos como o “modo desconectado”, que permite ao ChatGPT atuar sem credenciais de conta, e o “Watch Mode”, para ajudar os usuários a manterem-se atentos e no controle quando o agente opera em sites sensíveis.
Quando procurada para comentar, a OpenAI remeteu a Fortune aos comentários de Stuckey.
Continua depois da publicidade
Nova superfície de ataque
Vários usuários de redes sociais compartilharam exemplos iniciais de ataques bem-sucedidos de injeção de prompt contra o ChatGPT Atlas. Um usuário demonstrou como o Atlas pode ser explorado via injeção na área de transferência. Ao embutir ações ocultas de “copiar para a área de transferência” em botões de uma página, o usuário mostrou que, quando o agente de IA navega pelo site, ele pode substituir inadvertidamente o conteúdo da área de transferência do usuário por links maliciosos. Depois, se o usuário colar normalmente, pode ser redirecionado a sites de phishing e ter informações sensíveis roubadas, incluindo códigos de autenticação multifator.
Além disso, poucas horas após o lançamento do ChatGPT Atlas, a Brave, empresa de navegador open-source, publicou um blog detalhando vários ataques aos quais os navegadores de IA são particularmente vulneráveis, incluindo injeções indiretas de prompt. A empresa já havia exposto uma vulnerabilidade no navegador Comet da Perplexity que permitia a invasores embutir comandos ocultos em páginas, que a IA poderia executar ao ser solicitada a resumir a página, potencialmente expondo dados sensíveis como e-mails de usuários.
No Comet, a Brave também descobriu que invasores podem esconder comandos em imagens que são executados quando o usuário tira uma captura de tela, enquanto no Fellou — outro navegador de IA agente — simplesmente navegar até uma página maliciosa pode fazer a IA seguir instruções prejudiciais.
Continua depois da publicidade
“Esses são ataques muito mais perigosos do que vulnerabilidades tradicionais de navegador”, disse Chalhoub. “Com um sistema de IA, ele está lendo ativamente o conteúdo e tomando decisões por você. Então a superfície de ataque é muito maior e realmente invisível. Antes, com um navegador normal, você precisava tomar várias ações para ser atacado ou infectado.”
“O risco de segurança e privacidade aqui ainda me parece extremamente alto”, disse o programador britânico Simon Willison sobre o ChatGPT Atlas em seu blog. “Gostaria de ver uma explicação detalhada das medidas que o Atlas toma para evitar ataques de injeção de prompt. Agora, parece que a principal defesa é esperar que o usuário observe cuidadosamente o que o modo agente está fazendo o tempo todo!”
Riscos de compartilhamento de dados
Também há questionamentos sobre privacidade e retenção de dados. Notavelmente, o ChatGPT Atlas pede que os usuários optem por compartilhar seus cofres de senhas, algo que poderia ser explorado por ataques maliciosos direcionados ao agente do navegador.
Continua depois da publicidade
“O desafio é que, para que o assistente de IA seja útil, você precisa dar acesso aos seus dados e privilégios, e se os invasores conseguirem enganar o assistente, é como se você tivesse sido enganado”, disse Srini Devadas, professor do MIT e investigador principal do CSAIL.
Devadas afirmou que a principal preocupação de privacidade com navegadores de IA é o possível vazamento de dados sensíveis do usuário, como informações pessoais ou financeiras, quando conteúdos privados são compartilhados com servidores de IA. Ele também alertou que navegadores de IA podem fornecer informações incorretas devido a alucinações do modelo e que a automação de tarefas pode ser explorada para fins maliciosos, como scripts prejudiciais.
“A camada de integração entre navegação e IA é uma nova superfície de ataque”, disse ele.
Continua depois da publicidade
Chalhoub acrescentou que pode ser fácil para usuários com menos conhecimento técnico baixarem esses navegadores e presumirem que a privacidade está incorporada ao produto.
“A maioria dos usuários que baixam esses navegadores não entende o que está compartilhando ao usar esses agentes, e é muito fácil importar todas as suas senhas e histórico de navegação do Chrome, e acho que os usuários não percebem isso, então não estão realmente optando conscientemente”, afirmou.
2025 Fortune Media IP Limited