Shadow Leak mostra como agentes do ChatGPT podem exfiltrar dados do Gmail via injeção de prompt
Sources: https://www.theverge.com/news/781746/chatgpt-gmail-shadow-leak, The Verge AI
TL;DR
- Pesquisadores de segurança demonstraram um ataque de injeção de prompt chamado Shadow Leak, que aproveitou o Deep Research do ChatGPT para exfiltrar dados de uma caixa de entrada do Gmail.
- O ataque depende de uma particularidade de como os Agentes de IA operam: eles podem agir em seu nome, navegar na web e clicar em links com supervisão limitada.
- A OpenAI já corrigiu a vulnerabilidade sinalizada pela Radware em junho; pesquisadores alertam que outros aplicativos conectados ao Deep Research (Outlook, GitHub, Google Drive e Dropbox) podem ser vulneráveis a ataques semelhantes.
- O incidente ressalta os riscos evolutivos da IA com atuação autônoma e da exfiltração de dados além de defesas cibernéticas tradicionais.
Contexto e antecedentes
Agentes de IA são assistentes projetados para agir em seu nome com supervisão mínima. Eles podem navegar na web, clicar em links e realizar tarefas em serviços como e-mail, calendário e documentos de trabalho quando você autoriza o acesso. Pesquisadores de segurança destacam que essas capacidades criam novas vias de abuso se as salvaguardas falharem. O conceito de injeção de prompt—instruções maliciosas inseridas em prompts para induzir o agente a agir para o atacante—aparece como um risco importante nesse cenário. O caso Shadow Leak foca nessas dinâmicas e em como uma instrução oculta pode ser ativada em um fluxo de IA usado com o Gmail.
O que há de novo
Os pesquisadores da Radware descrevem Shadow Leak como uma prova de conceito que depende de uma injeção de prompt embutida em um e-mail enviado para a caixa de entrada do Gmail a qual o agente tinha acesso por meio do Deep Research. O atacante esperou o usuário acionar o Deep Research novamente; quando isso ocorreu, as instruções ocultas orientaram o agente a buscar e-mails de RH e detalhes pessoais e a repassar esses dados aos hackers. A operação ocorreu na infraestrutura em nuvem da OpenAI, tornando-a amplamente invisível para defesas cibernéticas tradicionais. A OpenAI já corrigiu a vulnerabilidade sinalizada pela Radware em junho. Os pesquisadores observaram que a mesma técnica poderia ser aplicada a outros conectores associados ao Deep Research—Outlook, GitHub, Google Drive e Dropbox—potencialmente expondo contratos, atas de reuniões ou registros de clientes.
Por que isso importa (impacto para desenvolvedores/empresas)
O caso Shadow Leak evidencia como IA com atuação autônoma pode introduzir novas superfícies de ataque para exfiltração de dados. Quando agentes podem agir de forma autônoma em serviços conectados, uma única injeção de prompt pode levar a vazamento de dados sem que o usuário perceba. Para desenvolvedores e empresas, o incidente reforça a necessidade de salvaguardas robustas em torno de agentes de IA, manuseio de prompts e monitoramento de fluxos de dados entre serviços.
Detalhes técnicos ou Implementação
- Agentes e autonomia: os Agentes de IA são projetados para agir em seu nome, incluindo navegar e clicar em links, com supervisão que pode ser mínima na prática.
- Conceito de injeção de prompt: uma injeção de prompt insere instruções dentro de prompts que manipulam o comportamento do agente, fazendo com que ele trabalhe para o atacante.
- Mecanismo do Shadow Leak: a Radware inseriu uma injeção de prompt em um e-mail enviado para a caixa de entrada do Gmail à qual o agente tinha acesso. Quando o usuário acionou novamente o Deep Research, as instruções ocultas orientaram o agente a buscar e-mails de RH e detalhes pessoais e a repassar esses dados aos hackers.
- Execução na nuvem e evasão: o ataque ocorreu na infraestrutura em nuvem da OpenAI, permitindo que os dados fossem vazados diretamente desse ambiente e tornando-os menos visíveis para defesas tradicionais.
- Patch e escopo: a OpenAI corrigiu a vulnerabilidade sinalizada pela Radware. A Radware alertou que conectores adicionais do Deep Research (Outlook, GitHub, Google Drive, Dropbox) podem estar vulneráveis a ataques semelhantes.
Principais conclusões
- Injeções de prompt são um risco real e em evolução em agentes de IA que operam em várias apps conectadas.
- A exfiltração de dados pode ocorrer dentro de fluxos de IA em nuvem, potencialmente contornando defesas tradicionais.
- Um único erro de design de prompt ou conteúdo de e-mail pode acionar vazamento de dados por meio de agentes autônomos.
- A mitigação exige patches oportunos e revisão cuidadosa de como os agentes de IA acessam e tratam dados entre serviços.
FAQ
-
O que é Shadow Leak?
É um ataque de injeção de prompt apresentado como prova de conceito para exfiltrar dados do Gmail via Deep Research no ChatGPT.
-
Como ele funcionava?
Um atacante inseriu uma instrução de prompt em um e-mail a que o agente tinha acesso; quando o usuário acionava o Deep Research novamente, as instruções ocultas fizeram o agente buscar e-mails de RH e detalhes pessoais e enviá-los aos atacantes.
-
Já foi corrigido?
Sim; a vulnerabilidade sinalizada pela Radware em junho foi corrigida pela OpenAI.
-
Isso pode afetar outros apps?
Radware alertou que conectores adicionais do Deep Research (Outlook, GitHub, Google Drive, Dropbox) podem ser vulneráveis a ataques semelhantes.
Referências
- The Verge artigo: https://www.theverge.com/news/781746/chatgpt-gmail-shadow-leak
More news
Primeira olhada no app Google Home alimentado pelo Gemini
O The Verge mostra que o Google está atualizando o app Google Home para trazer recursos do Gemini, incluindo a barra de busca Ask Home, um redesign da interface e controles por voz natural para o lar.
Demos fracassados de óculos com Live AI da Meta não tiveram relação com Wi‑Fi, explica o CTO
Demos ao vivo dos óculos Ray‑Ban com Live AI da Meta enfrentaram falhas constrangedoras. O CTO Andrew Bosworth explica as causas, incluindo tráfego autoimplicado e um bug raro de chamada de vídeo, e aponta que o bug foi corrigido.
OpenAI supostamente desenvolve alto-falante inteligente, óculos, gravador e pin com Jony Ive
A OpenAI estaria explorando uma família de dispositivos com o ex-chefe de design da Apple, Jony Ive, incluindo um alto-falante inteligente sem tela, óculos, um gravador de voz e um pin vestível, com lançamento previsto para o final de 2026 ou início de 2027.
Google expande Gemini no Chrome com lançamento multiplataforma e sem taxa de assinatura
O Gemini AI no Chrome ganha acesso às abas, histórico e propriedades do Google, com rollout para Mac e Windows nos EUA sem cobrança e com automação de tarefas e integrações com o Workspace.
James Cameron sobre IA e Realidade Mista: uma visão baseada em molduras com 3D no Quest
James Cameron e o CTO da Meta, Andrew Bosworth, discutem produção estereoscópica, o quadro como ferramenta de narrativa e como IA generativa pode ampliar o cinema sem substituir artistas, junto com o primeiro trailer de Avatar 3 na Horizon TV.
Como chatbots e seus criadores estão alimentando a psicose causada pela IA
Explora psicose causada por IA, segurança de adolescentes e questões legais com o crescimento de chatbots, com base na reportagem de Kashmir Hill para a The Verge.