Openai

Um relatório da Tenable Research revelou sete falhas de segurança na plataforma ChatGPT da OpenAI, que podem ser exploradas por cibercriminosos para roubar dados dos usuários e até controlar o chatbot. A principal vulnerabilidade identificada é a ‘injeção de prompt’, onde hackers enviam instruções maliciosas ao ChatGPT sem que o usuário perceba. Os especialistas demonstraram duas formas de ataque: a primeira envolve a inserção de um comentário malicioso em um blog, que pode ser ativado quando o usuário pede um resumo ao ChatGPT. A segunda é um ataque de clique zero, onde o hacker cria um site que, ao ser indexado pelo ChatGPT, pode comprometer o usuário sem qualquer interação. Além disso, a falha de ‘injeção de memória’ permite que comandos maliciosos sejam salvos no histórico do usuário, possibilitando o roubo de dados sensíveis em interações futuras. A OpenAI foi notificada sobre essas vulnerabilidades, que afetam os modelos ChatGPT 4o e GPT-5, mas ainda não há informações sobre correções.

Recentemente, foi descoberto que conversas realizadas no ChatGPT estavam vazando para o Google Search Console (GSC), uma ferramenta utilizada por desenvolvedores para monitorar o tráfego de pesquisas. O consultor Jason Packer, da Quantable, identificou que pesquisas feitas no ChatGPT, incluindo interações pessoais e profissionais, estavam sendo exibidas no GSC, o que levanta preocupações sobre a privacidade dos usuários. A OpenAI, responsável pelo ChatGPT, reconheceu a existência de um problema que afetou temporariamente o caminho de algumas buscas, mas não forneceu detalhes sobre a natureza do vazamento. Aproximadamente 200 pesquisas estranhas foram registradas, revelando que os prompts dos usuários não são tão privados quanto se poderia supor. Os especialistas sugerem que a OpenAI deve aumentar a transparência em relação a incidentes como este e reforçar a proteção da privacidade dos usuários, especialmente em um contexto onde a conformidade com a LGPD é crucial. O vazamento é considerado um incidente de segurança que pode impactar a confiança dos usuários e a reputação da OpenAI.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Pesquisadores de cibersegurança revelaram um conjunto de sete vulnerabilidades que afetam os modelos GPT-4o e GPT-5 da OpenAI, incluindo técnicas de injeção de prompt que podem ser exploradas por atacantes para roubar informações pessoais dos usuários. As falhas permitem que um invasor manipule o comportamento esperado do modelo de linguagem, levando-o a executar ações maliciosas sem o conhecimento do usuário. Entre as vulnerabilidades estão a injeção de prompt indireta via sites confiáveis, a injeção de prompt sem clique e a injeção de memória, que podem comprometer a privacidade dos dados armazenados nas interações do ChatGPT. A OpenAI já tomou medidas para corrigir algumas dessas falhas, mas a pesquisa destaca a necessidade de mecanismos de segurança mais robustos. Além disso, o estudo alerta para a crescente complexidade das ameaças, como ataques de injeção de prompt que podem ser realizados com um número reduzido de documentos maliciosos, tornando esses ataques mais acessíveis para potenciais invasores. A situação exige atenção redobrada de empresas e profissionais de segurança da informação, especialmente em um cenário onde a proteção de dados pessoais é cada vez mais crítica.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

A OpenAI apresentou o Aardvark, um agente de segurança baseado em inteligência artificial que utiliza a tecnologia GPT-5 para detectar e corrigir vulnerabilidades em softwares de forma autônoma. Este novo recurso, atualmente em beta privada, visa oferecer proteção contínua às equipes de desenvolvimento contra ameaças emergentes. O Aardvark opera em quatro etapas principais: análise, varredura de commits, validação e correção. Ele cria um modelo de ameaça abrangente e analisa mudanças no código para identificar potenciais vulnerabilidades, testando-as em um ambiente isolado antes de gerar correções. Em testes, o Aardvark alcançou uma taxa de detecção de 92% para vulnerabilidades conhecidas, demonstrando eficácia em cenários reais. A OpenAI também aplicou o Aardvark em projetos de código aberto, onde descobriu várias vulnerabilidades, algumas das quais receberam identificadores CVE. A empresa planeja oferecer varredura gratuita para repositórios de código aberto não comerciais, contribuindo para a segurança da cadeia de suprimentos de software. Apesar de suas capacidades, o Aardvark apresenta riscos, como a possibilidade de falsos positivos e a dependência da análise de linguagem natural, o que pode exigir a combinação com ferramentas tradicionais de segurança.

A OpenAI anunciou o lançamento do Aardvark, um pesquisador de segurança autônomo alimentado pelo modelo de linguagem GPT-5. Este agente de inteligência artificial foi projetado para ajudar desenvolvedores e equipes de segurança a identificar e corrigir vulnerabilidades em código de forma escalável. Atualmente em beta privada, o Aardvark analisa repositórios de código-fonte continuamente, identificando vulnerabilidades, avaliando sua explorabilidade e propondo correções. O modelo GPT-5, introduzido em agosto de 2025, oferece capacidades de raciocínio mais profundas e um ‘roteador em tempo real’ para otimizar a interação com os usuários.

Pesquisadores de cibersegurança da NeuralTrust descobriram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a atacantes disfarçar instruções maliciosas como URLs legítimas, burlando os controles de segurança do sistema. A falha explora a omnibox, a barra de endereço e pesquisa combinada, manipulando a forma como o Atlas distingue entre solicitações de navegação e comandos em linguagem natural.

Os atacantes criam strings que parecem URLs válidas, mas que contêm erros sutis de formatação. Quando um usuário insere essas strings na omnibox, o Atlas não valida corretamente a URL e trata o conteúdo como um comando confiável, permitindo que instruções maliciosas sejam executadas com privilégios elevados.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade no navegador ChatGPT Atlas da OpenAI, que pode permitir que agentes maliciosos injetem instruções prejudiciais na memória do assistente de inteligência artificial. Essa falha, baseada em um erro de falsificação de solicitação entre sites (CSRF), possibilita que as instruções maliciosas persistam entre dispositivos e sessões, comprometendo a segurança do usuário. A memória, introduzida pela OpenAI em fevereiro de 2024, visa personalizar as interações, mas, se corrompida, pode ser utilizada para executar códigos arbitrários sem o conhecimento do usuário. A vulnerabilidade é agravada pela falta de controles robustos contra phishing no ChatGPT Atlas, tornando os usuários até 90% mais expostos em comparação com navegadores tradicionais como Google Chrome e Microsoft Edge. O ataque pode ser desencadeado por meio de engenharia social, onde o usuário é induzido a clicar em um link malicioso. Uma vez que a memória do ChatGPT é comprometida, comandos normais podem ativar a execução de códigos maliciosos, resultando em escalonamento de privilégios ou exfiltração de dados. Essa situação representa um risco significativo, pois transforma uma funcionalidade útil em uma ferramenta de ataque.

O navegador OpenAI Atlas, recém-lançado, foi identificado como vulnerável a um ataque de injeção de prompt, onde um prompt malicioso pode ser disfarçado como um URL aparentemente inofensivo. Segundo um relatório da NeuralTrust, o omnibox do navegador, que combina a barra de endereço e de busca, interpreta entradas como URLs ou comandos em linguagem natural. Isso permite que um atacante crie um link que, ao ser inserido, faz com que o navegador execute instruções prejudiciais. Por exemplo, um URL malformado pode redirecionar o usuário para um site controlado pelo atacante, potencialmente levando a páginas de phishing ou até comandos que excluem arquivos de aplicativos conectados, como o Google Drive. A falta de distinção rigorosa entre entradas de usuário confiáveis e conteúdo não confiável no Atlas é uma falha crítica. A situação é agravada por técnicas como o ‘AI Sidebar Spoofing’, onde extensões maliciosas podem enganar usuários a fornecer dados ou instalar malware. Embora a OpenAI tenha implementado medidas de segurança, a injeção de prompt continua a ser um problema de segurança não resolvido, exigindo atenção contínua da indústria de cibersegurança.

O Departamento de Segurança Interna dos EUA (DHS) emitiu um mandado inédito exigindo que a OpenAI forneça informações detalhadas sobre as conversas de usuários do ChatGPT, em um caso criminal relacionado a material de exploração infantil. O mandado, que foi deslacrado em Maine, representa um marco na interseção entre inteligência artificial e justiça criminal. A investigação, que começou em 2019, revelou que o suspeito mencionou o uso do ChatGPT durante comunicações com agentes infiltrados. Embora os dados da OpenAI não tenham sido necessários para identificar o suspeito, a solicitação levanta questões sobre privacidade e a responsabilidade das empresas de IA em relação a dados de usuários. A OpenAI já processou milhares de conteúdos relacionados a exploração infantil e atendeu a várias solicitações governamentais. Este caso destaca a crescente tendência de as autoridades considerarem plataformas de IA como fontes de evidência, exigindo uma reavaliação das práticas de coleta de dados e proteção de privacidade por parte das empresas de tecnologia.

O lançamento do Sora 2 AI provocou um aumento nas atividades maliciosas, com cibercriminosos criando domínios falsos que imitam os serviços oficiais da OpenAI para roubar credenciais de usuários e realizar fraudes em criptomoedas. Relatórios de inteligência de ameaças indicam que páginas clonadas do Sora estão sendo utilizadas para coletar dados de login, roubar carteiras de criptomoedas e acessar planos de API pagos sem autorização. Os ataques exploram a empolgação dos usuários em relação ao novo lançamento de IA, distribuindo malware e capturando dados financeiros.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica no framework Guardrails da OpenAI, que pode ser explorada através de métodos simples de injeção de prompt. Essa técnica permite que atacantes manipulem os modelos de linguagem que deveriam garantir a segurança do comportamento da IA, possibilitando a inserção de conteúdo malicioso sem ser detectado. O Guardrails, introduzido em 6 de outubro, utiliza modelos de linguagem como ‘juízes’ para avaliar a segurança de entradas e saídas, mas a pesquisa mostrou que essa abordagem cria um ciclo de segurança ‘cega’. Os atacantes podem enganar esses juízes, manipulando os limiares de confiança e permitindo a execução de instruções perigosas. Os métodos de bypass demonstrados incluem a inserção de instruções maliciosas em templates que imitam avaliações aprovadas e a ocultação de código malicioso em comentários HTML. Essa vulnerabilidade, classificada como ‘composta’, sugere que os juízes baseados em LLM são tão suscetíveis à manipulação quanto os modelos que protegem. Para mitigar esses riscos, as organizações devem implementar defesas em camadas e sistemas de validação independentes, além de monitoramento contínuo.

Pesquisadores de segurança da SentinelLABS revelaram o MalTerminal, um novo malware que utiliza modelos de linguagem de grande escala (LLM) para gerar código de ransomware. Este executável para Windows, identificado após um ano de investigação, incorpora um endpoint da API de chat do OpenAI GPT-4, que foi descontinuado em novembro de 2023, indicando que o malware pode ter surgido entre o final de 2023 e o início de 2024. Os analistas desenvolveram regras YARA para detectar padrões de chaves de API exclusivas de provedores de LLM, encontrando mais de 7.000 amostras com mais de 6.000 chaves únicas. O MalTerminal se destaca como o primeiro exemplo conhecido de malware que gera lógica maliciosa dinamicamente em tempo de execução, emitindo um payload JSON estruturado para o endpoint GPT-4 e definindo seu papel como um especialista em cibersegurança. Embora não haja evidências de que o MalTerminal tenha sido implantado em ambientes reais, sua dependência de serviços comerciais de LLM e chaves de API válidas apresenta uma janela estreita para que os defensores aprimorem suas estratégias de detecção antes que arquiteturas mais resilientes sejam adotadas pelos adversários.

No dia 8 de outubro de 2025, a OpenAI anunciou a interrupção de três grupos de atividade que estavam utilizando sua ferramenta de inteligência artificial, o ChatGPT, para facilitar o desenvolvimento de malware. Um dos grupos, de língua russa, usou o chatbot para criar e aprimorar um trojan de acesso remoto (RAT) e um ladrão de credenciais, buscando evitar a detecção. A OpenAI observou que esses usuários estavam associados a grupos criminosos que compartilhavam evidências de suas atividades em canais do Telegram. Embora os modelos de linguagem da OpenAI tenham se recusado a atender a pedidos diretos para criar conteúdo malicioso, os criminosos contornaram essa limitação, gerando códigos que foram montados para criar fluxos de trabalho maliciosos. Outro grupo, da Coreia do Norte, utilizou o ChatGPT para desenvolver malware e ferramentas de comando e controle, enquanto um terceiro grupo, da China, focou em campanhas de phishing. Além disso, a OpenAI bloqueou contas que estavam envolvidas em fraudes e operações de influência, incluindo atividades de vigilância ligadas a entidades governamentais chinesas. A empresa destacou que os atores de ameaça estão se adaptando para ocultar sinais de que o conteúdo foi gerado por uma ferramenta de IA, o que representa um novo desafio para a segurança cibernética.

Uma vulnerabilidade na ferramenta Deep Research do ChatGPT, descoberta pela Radware, permitia que dados do Gmail de usuários fossem coletados sem que eles precisassem clicar em qualquer link. O recurso, lançado em fevereiro, foi projetado para realizar pesquisas mais robustas e rápidas, mas, ao se conectar às contas do Gmail, expôs informações pessoais como nome e endereço. A Radware testou a falha enviando e-mails a si mesmos com instruções ocultas, que permitiram que a IA coletasse dados e os enviasse a um endereço controlado pelos pesquisadores. A OpenAI, responsável pelo ChatGPT, corrigiu a falha em 3 de setembro e afirmou que não há evidências de que a vulnerabilidade tenha sido explorada por hackers. No entanto, a possibilidade de uso de dados para ataques de phishing no futuro permanece. A empresa ressaltou que a segurança é uma prioridade e que a análise da Radware contribuiu para a melhoria das ferramentas. Este incidente destaca a necessidade de vigilância contínua em relação à segurança de ferramentas de IA, especialmente aquelas que interagem com dados sensíveis dos usuários.

Pesquisadores de cibersegurança revelaram uma falha de zero-click no agente Deep Research do ChatGPT da OpenAI, que pode permitir que um atacante vaze dados sensíveis da caixa de entrada do Gmail com um único e-mail malicioso, sem qualquer ação do usuário. Nomeado de ShadowLeak, o ataque utiliza injeções de prompt indiretas escondidas em HTML de e-mails, como texto branco sobre fundo branco, para que o usuário não perceba as instruções. Quando o usuário solicita ao ChatGPT que analise seus e-mails, o agente pode ser induzido a extrair informações pessoais e enviá-las para um servidor externo. Essa vulnerabilidade é particularmente preocupante, pois ocorre diretamente na infraestrutura em nuvem da OpenAI, contornando defesas locais e corporativas. O ataque pode ser ampliado para outros conectores suportados pelo ChatGPT, como Dropbox e Google Drive. Além disso, a pesquisa também destaca como o ChatGPT pode ser manipulado para resolver CAPTCHAs, evidenciando a necessidade de integridade de contexto e monitoramento contínuo. A OpenAI já abordou a questão em agosto de 2025, após a divulgação responsável do problema em junho do mesmo ano.

O uso de chatbots como o ChatGPT levanta preocupações significativas sobre a privacidade dos dados dos usuários. Recentemente, um incidente envolvendo o compartilhamento de buscas do ChatGPT com o Google gerou alvoroço, pois usuários viram suas perguntas, incluindo dados pessoais, aparecerem em pesquisas na web. A OpenAI, após críticas, removeu a ferramenta de compartilhamento, mas a situação expõe um problema maior: o que as empresas fazem com os dados coletados? Apesar de esforços para remover conteúdo indexado, a OpenAI é legalmente obrigada a reter as perguntas dos usuários, mesmo aquelas deletadas. Isso levanta questões sobre a segurança dos dados, especialmente em um contexto onde hackers podem explorar vulnerabilidades para acessar informações confidenciais. Especialistas alertam que, mesmo sem intenção, usuários podem revelar dados pessoais a IAs, especialmente quando estas são programadas para agir de forma sociável. A recomendação é que os usuários evitem compartilhar informações sensíveis e que as empresas implementem medidas para proteger a privacidade dos dados. O artigo destaca a necessidade de conscientização sobre os riscos associados ao uso de IAs e a importância de ler os Termos e Condições antes de aceitar compartilhar informações.