Pesquisadores em cibersegurança revelaram uma vulnerabilidade do tipo zero-click no agente Deep Research do ChatGPT, da OpenAI, que permite a um atacante vazar dados sensíveis da caixa de entrada do Gmail com apenas um e-mail malicioso, sem qualquer ação do usuário.
Batizada de ShadowLeak pela empresa Radware, essa nova modalidade de ataque foi divulgada de forma responsável em 18 de junho de 2025 e corrigida pela OpenAI no início de agosto.
Segundo os pesquisadores Zvika Babo, Gabi Nakibly e Maor Uziel, “o ataque utiliza uma injeção indireta de prompt oculta no HTML do e-mail (com fontes minúsculas, texto branco sobre branco e truques de layout) para que o usuário não perceba as instruções, mas o agente as lê e executa”.
Diferentemente de ataques anteriores, que dependiam da renderização de imagens no lado do cliente para vazar dados, o ShadowLeak exfiltra informações diretamente da infraestrutura em nuvem da OpenAI.
Isso o torna invisível para as defesas locais ou corporativas tradicionais.
Lançado em fevereiro de 2025, o Deep Research é um recurso do ChatGPT que realiza pesquisas complexas pela internet para gerar relatórios detalhados.
Funcionalidades semelhantes foram incorporadas recentemente em outros chatbots de inteligência artificial populares, como Google Gemini e Perplexity.
No cenário demonstrado pela Radware, o criminoso envia um e-mail aparentemente inofensivo contendo comandos invisíveis (texto branco sobre branco ou manipulação via CSS) que instruem o agente a coletar informações pessoais armazenadas em outras mensagens da caixa de entrada e enviá-las para um servidor externo.
Assim, quando a vítima solicita que o ChatGPT Deep Research analise seus e-mails do Gmail, o agente interpreta a injeção de prompt oculta no e-mail malicioso e transmite os dados codificados em Base64 ao invasor por meio da função browser.open().
“Nós criamos um prompt que orientava explicitamente o agente a usar a ferramenta browser.open() com a URL maliciosa”, afirmou a Radware.
“A estratégia que deu certo foi pedir que o agente codificasse as informações pessoais extraídas em Base64 antes de adicioná-las à URL.
Apresentamos essa ação como uma medida de segurança para proteger os dados durante a transmissão.”
O teste de conceito depende que o usuário autorize a integração do Gmail com o ChatGPT, mas o ataque pode ser adaptado para qualquer outro conector suportado, como Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion ou SharePoint, ampliando significativamente a superfície de ataque.
Ao contrário dos ataques AgentFlayer e EchoLeak, que ocorrem no cliente, o ShadowLeak exfiltra dados diretamente na nuvem da OpenAI, burlando controles tradicionais de segurança.
Essa invisibilidade no ambiente cloud é o que diferencia essa falha das demais vulnerabilidades de injeção indireta de prompt.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...