Uma vulnerabilidade inédita no OpenAI ChatGPT permitia a exfiltração de dados sensíveis das conversas sem o conhecimento ou consentimento dos usuários, revelou a empresa de segurança Check Point em um novo relatório.
Segundo o estudo, “um único prompt malicioso poderia transformar uma conversa comum em um canal oculto de exfiltração, vazando mensagens, arquivos enviados e outros dados confidenciais.” Além disso, um GPT comprometido exploraria a mesma falha para acessar informações do usuário sem aviso ou permissão.
Após a divulgação responsável, a OpenAI corrigiu a falha em 20 de fevereiro de 2026.
Não há evidências de que a vulnerabilidade tenha sido explorada com intenções maliciosas.
Embora o ChatGPT conte com diversas barreiras para impedir o compartilhamento não autorizado de dados ou requisições diretas à rede, essa vulnerabilidade ignorava completamente essas proteções ao explorar um canal lateral no ambiente Linux usado pela inteligência artificial para execução de código e análise de dados.
O método consiste em abusar de um caminho oculto de comunicação baseado em DNS que funciona como um “mecanismo de transporte oculto”.
A informação é codificada nas requisições DNS para burlar as barreiras visíveis do sistema.
Além disso, esse canal poderia viabilizar o acesso remoto via shell dentro do ambiente Linux, permitindo a execução de comandos.
Sem qualquer aviso ou diálogo de aprovação, essa vulnerabilidade cria uma zona cega de segurança, pois o sistema assume que o ambiente está isolado.
Na prática, um atacante poderia enganar um usuário para que cole um prompt malicioso, apresentando-o como uma forma de liberar recursos premium gratuitamente ou melhorar o desempenho do ChatGPT.
O risco aumenta quando essa técnica é incorporada em GPTs personalizados, pois a lógica maliciosa pode estar embutida, eliminando a necessidade de manipular o usuário diretamente.
“Crucialmente, como o modelo operava sob a suposição de que o ambiente não enviaria dados diretamente para fora, ele não reconheceu esse comportamento como uma transferência externa que exigisse resistência ou consentimento do usuário,” explicou a Check Point.
“Isso fez com que o vazamento não disparasse alertas, não requeresse confirmação explícita e permanecesse invisível para o usuário.”
Com o uso crescente do ChatGPT em ambientes corporativos e o envio frequente de informações altamente pessoais, vulnerabilidades como esta reforçam a urgência de as organizações implementarem camadas adicionais de segurança para se protegerem contra prompt injections e outros comportamentos inesperados em sistemas de IA.
“Essa pesquisa reforça uma verdade dura na era da IA: não se pode assumir que as ferramentas de IA são seguras por padrão,” afirmou Eli Smadja, head de pesquisa da Check Point Research.
“À medida que plataformas de IA se tornam ambientes de computação completos, lidando com nossos dados mais sensíveis, controles nativos de segurança não são suficientes.
As organizações precisam de visibilidade independente e proteção em múltiplas camadas entre elas e os fornecedores de IA.
Assim podemos avançar com segurança, repensando a arquitetura de segurança para IA, e não apenas reagindo a incidentes.”
A descoberta ocorre em meio à observação de ameaças envolvendo extensões de navegadores que realizam prompt poaching, técnica que captura silenciosamente conversas com chatbots de IA sem autorização dos usuários.
Esse cenário demonstra como complementos aparentemente inofensivos podem se tornar canais de exfiltração de dados.
“É quase desnecessário dizer que esses plugins abrem portas para riscos graves, incluindo roubo de identidade, campanhas de phishing direcionadas e venda de dados sensíveis em fóruns ilegais,” alertou Ben Nahorney, pesquisador da Expel.
“Em organizações onde funcionários instalaram essas extensões inadvertidamente, a propriedade intelectual, dados de clientes e outras informações confidenciais podem ter sido expostas.”
As descobertas coincidem com a identificação de uma vulnerabilidade crítica de command injection no Codex, agente de engenharia de software da OpenAI baseado na nuvem.
Essa falha poderia ser explorada para roubar credenciais do GitHub, comprometendo múltiplos usuários que trabalham com repositórios compartilhados.
“A vulnerabilidade está na requisição HTTP de criação de tarefas, que permite a um atacante injetar comandos arbitrários via parâmetro de nome de branch do GitHub,” explicou Tyler Jespersen, pesquisador do BeyondTrust Phantom Labs.
“Isso pode levar ao roubo do User Access Token do GitHub da vítima, o mesmo token usado pelo Codex para autenticação.”
De acordo com o BeyondTrust, o problema decorre da falta de sanitização adequada da entrada quando os nomes de branch são processados durante a execução de tarefas na nuvem.
A partir disso, um invasor pode enviar comandos maliciosos via parâmetro de nome de branch em uma requisição HTTPS POST, rodar payloads dentro do container do agente e capturar tokens de autenticação sensíveis.
“Isso garante acesso lateral e permissões de leitura e gravação em todo o código da vítima,” disse Kinnaird McQuade, chief security architect da BeyondTrust, em uma publicação no X.
A falha foi corrigida pela OpenAI em 5 de fevereiro de 2026, após ter sido reportada em 16 de dezembro de 2025.
Ela afeta o site ChatGPT, Codex CLI, Codex SDK e a Codex IDE Extension.
O fornecedor alertou que a técnica de injeção via branch pode ser ampliada para roubar GitHub Installation Access tokens e executar comandos bash no container de revisão de código sempre que o @codex for mencionado no GitHub.
“Com o branch malicioso configurado, referenciamos o Codex em um comentário de pull request (PR),” explicaram.
“O Codex iniciou um container de revisão de código, criou uma tarefa contra nosso repositório e branch, executou nosso payload e enviou a resposta ao nosso servidor externo.”
A pesquisa ressalta o risco crescente de que o acesso privilegiado concedido a agentes de IA para programação pode ser explorado como uma “porta escalável” para ataques a sistemas corporativos sem disparar os controles de segurança tradicionais.
“Com a integração cada vez maior dos agentes de IA nos fluxos de trabalho dos desenvolvedores, a segurança dos containers nos quais eles operam e dos inputs que consomem deve ser tratada com o mesmo rigor das demais fronteiras de segurança de aplicações,” alertou o BeyondTrust.
“A superfície de ataque está aumentando e a segurança desses ambientes precisa acompanhar essa expansão.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...