O relatório «HackedGPT» da Tenable identificou sete vulnerabilidades no ChatGPT que permitem extrair dados, manipular respostas e guardar instruções ocultas através de injeções indiretas de linha de comando e memória persistente. As promessas dos assistentes de inteligência artificial (IA) coexistem com uma superfície de ataque cada vez mais ampla. O relatório da Tenable intitulado «HackedGPT» descreve sete vulnerabilidades e técnicas que, em conjunto, podem levar à fuga de dados, à violação das medidas de segurança e à invasão permanente do ChatGPT, o que pode afetar funções como a navegação e a memória.
Algumas delas já foram corrigidas pela OpenAI, outras permaneciam em aberto no momento da publicação do relatório. O ChatGPT é um modelo de inteligência artificial criado pela OpenAI que gera texto e responde a perguntas em linguagem natural e hoje é usado como assistente digital em vários contextos. A principal forma de usar essas vulnerabilidades é a injeção indireta de dicas: comandos ocultos em páginas da web, comentários ou blocos de texto que o modelo interpreta como instruções válidas ao navegar ou resumir, sem o conhecimento do utilizador.
Um subprograma é uma instrução que o utilizador dá ao modelo para orientar a sua resposta; na cibersegurança, ele pode ser usado por malfeitores para manipular ou extrair informações do sistema.
A Tenable documenta três vetores no seu relatório: 1) 0-click-exposure, quando basta fazer uma pergunta para que o sistema leia uma página maliciosa e execute comandos ocultos; 2) 1-click, quando um link aparentemente inofensivo inicia um ataque; e 3) injeção de memória persistente, que coloca instruções na memória de longo prazo para que elas apareçam em sessões futuras. A isso se somam técnicas para ocultar conteúdo malicioso em formatos (por exemplo, markdown), introduzir conversas por meio de sistemas de pesquisa integrados e contornar a verificação de links usando shells confiáveis (como URLs proxy). Resultado potencial: roubo de histórico, vazamento de dados pessoais e manipulação de respostas.
Moshe Bernstein, engenheiro de investigação sénior na Tenable, resume o risco: estas vulnerabilidades, embora insignificantes individualmente, «formam uma cadeia completa de ataques» que torna a IA uma ferramenta para a recolha silenciosa de dados, se as medidas de controlo não forem reforçadas. É importante que as equipas de segurança tratem as integrações de IA como superfícies de ataque ativas, realizem auditorias de fugas e controlem a classificação de dados desde o primeiro dia.
