A OpenAI agiu rapidamente para corrigir uma falha de segurança crítica, apelidada de ShadowLeak. A vulnerabilidade afetava usuários que conectavam suas contas do Gmail ao ChatGPT para utilizar a ferramenta Deep Research.
O método de ataque era perigoso: um invasor poderia enviar um e-mail com prompts ocultos em seu código HTML. Ao ser processado pelo ChatGPT, o comando malicioso era executado diretamente pela infraestrutura da OpenAI, extraindo o conteúdo das suas mensagens e enviando-o para um servidor externo.
O ataque era praticamente invisível para o usuário, pois utilizava técnicas como texto branco sobre fundo branco para esconder as instruções.
Felizmente, a falha já foi corrigida. Até o momento, não há evidências de que a ShadowLeak tenha sido explorada ativamente. Ainda assim, o caso serve de alerta sobre os riscos de integrações. Para sua segurança, verifique sempre as permissões concedidas a aplicativos de terceiros.
