Especialistas em segurança digital estão alertando que o novo navegador da OpenAI, o ChatGPT Atlas, pode ser vulnerável a ataques maliciosos capazes de transformar assistentes de IA contra os próprios usuários, potencialmente roubando dados sensíveis ou até drenando contas bancárias.
A OpenAI lançou o Atlas na terça-feira, com o objetivo de apresentar um navegador de inteligência artificial capaz de executar tarefas na internet e realizar buscas. Um usuário planejando uma viagem, por exemplo, poderia usar o Atlas para buscar ideias, montar um itinerário e, em seguida, pedir para o sistema reservar voos e acomodações automaticamente.
O ChatGPT Atlas traz novos recursos, como memórias de navegação, que permitem à IA lembrar detalhes-chave da navegação do usuário para melhorar respostas e sugestões, e o modo agente, ainda experimental, no qual o ChatGPT pode navegar e interagir com páginas da web em nome do usuário.
O navegador faz parte da estratégia da empresa de transformar o ChatGPT de um simples aplicativo em uma plataforma computacional completa. Com isso, a OpenAI entra em competição direta com Google e Microsoft, além de novos players como a Perplexity, que recentemente lançou o navegador com IA Comet. O Google, por sua vez, já integrou o modelo Gemini ao Chrome.
No entanto, especialistas em cibersegurança alertam que todos os navegadores de IA atuais apresentam novos riscos de segurança, especialmente os chamados prompt injections, ataques que inserem comandos maliciosos no sistema de IA, levando-o a agir de forma indevida, como expor informações confidenciais ou executar ações prejudiciais.
“Sempre haverá algum risco residual em torno dos prompt injections, pois essa é a natureza de sistemas que interpretam linguagem natural e executam ações”, disse George Chalhoub, professor assistente do UCL Interaction Centre, à Fortune. “No mundo da segurança, é um jogo de gato e rato, e novas vulnerabilidades vão continuar surgindo.”
O principal problema é que navegadores de IA podem não conseguir distinguir comandos legítimos de um usuário daqueles ocultos em páginas da web maliciosas. Assim, um hacker poderia criar um site com instruções para que o modelo, ao acessá-lo, abrisse o e-mail do usuário em uma nova aba e exportasse todas as mensagens para o invasor. Em alguns casos, esses comandos podem ser escondidos, por exemplo, com texto branco sobre fundo branco ou em código de máquina, invisíveis para humanos, mas legíveis para a IA.
“O maior risco é o colapso da fronteira entre dados e comandos”, explica Chalhoub. “Isso pode transformar um agente de IA em um vetor de ataque contra o próprio usuário, extraindo e-mails, roubando dados de trabalho, acessando contas no Facebook ou senhas armazenadas. O usuário, sem perceber, concede acesso irrestrito a todos os seus dados.”
Em uma publicação na plataforma X, Dane Stuckey, diretor de segurança da informação da OpenAI, afirmou que a empresa está pesquisando e mitigando cuidadosamente os riscos de prompt injection.
“Nosso objetivo de longo prazo é que você possa confiar no agente do ChatGPT para usar seu navegador da mesma forma que confiaria em um colega extremamente competente e atento à segurança”, escreveu Stuckey. “Para este lançamento, realizamos testes extensivos de segurança (red-teaming), aplicamos novas técnicas de treinamento para recompensar o modelo quando ignora instruções maliciosas, implementamos barreiras de proteção e sistemas de detecção e bloqueio de ataques. Ainda assim, o prompt injection é uma fronteira em aberto e nossos adversários investirão tempo e recursos para tentar enganar o ChatGPT.”
Stuckey disse ainda que a OpenAI criou sistemas de resposta rápida para detectar e bloquear campanhas de ataque, além de reforçar o investimento em pesquisa, segurança e infraestrutura. A empresa também introduziu recursos como o modo desconectado, que permite ao ChatGPT operar sem credenciais do usuário, e o modo de observação, que mantém o usuário ciente das ações do agente em sites sensíveis.
Questionada pela Fortune, a OpenAI se limitou a encaminhar as declarações de Stuckey.
Navegadores de IA abrem uma nova superfície de ataque
Usuários de redes sociais já começaram a relatar casos de sucesso ao testar ataques de prompt injection contra o ChatGPT Atlas. Um deles demonstrou como o navegador poderia ser explorado por meio de injeção via área de transferência (clipboard injection): ao inserir comandos ocultos em botões de “copiar” em uma página, o atacante conseguiu fazer com que o agente de IA substituísse o conteúdo da área de transferência do usuário por links maliciosos. Ao colar normalmente, o usuário seria redirecionado para sites falsos e teria suas credenciais, incluindo códigos de autenticação multifator (MFA), roubadas.
Poucas horas após o lançamento do Atlas, a empresa Brave, desenvolvedora do navegador de código aberto homônimo, publicou um blog detalhando ataques aos quais navegadores de IA são especialmente vulneráveis, como as injeções indiretas. A Brave já havia exposto uma falha no navegador Comet, da Perplexity, que permitia a execução de comandos escondidos em páginas web e o vazamento de informações confidenciais, como e-mails de usuários.
No Comet, a Brave também descobriu que comandos podiam ser embutidos em imagens, sendo executados quando o usuário fazia capturas de tela. Já no navegador Fellou, apenas visitar uma página maliciosa poderia acionar a IA a executar instruções perigosas.
“Esses ataques são muito mais perigosos do que as vulnerabilidades tradicionais”, diz Chalhoub. “Com um sistema de IA, o navegador está lendo e interpretando o conteúdo por você, o que amplia drasticamente a superfície de ataque. Em navegadores tradicionais, o usuário precisava realizar várias ações para ser infectado; agora, basta a IA agir.”
O programador britânico Simon Willison também expressou preocupação: “Os riscos de segurança e privacidade ainda me parecem extremamente altos”, escreveu em seu blog. “Gostaria de ver uma explicação detalhada sobre como o Atlas evita ataques de prompt injection. Por enquanto, parece que a principal defesa é o usuário observar cuidadosamente o que o modo agente está fazendo.”
Riscos de privacidade e compartilhamento de dados
Outro ponto de preocupação é a privacidade e o armazenamento de dados. O ChatGPT Atlas pede aos usuários que optem por compartilhar seus gerenciadores de senhas, algo que pode ser explorado em ataques direcionados ao agente do navegador.
“O desafio é que, para o assistente ser útil, ele precisa de acesso aos seus dados e privilégios. Se os invasores conseguirem enganar o assistente, é como se tivessem enganado o próprio usuário”, afirmou Srini Devadas, professor e pesquisador do MIT.
Segundo ele, a principal ameaça está no vazamento de informações sensíveis, pessoais ou financeiras, durante a interação entre o conteúdo privado e os servidores da IA. Devadas também alertou que os navegadores de IA podem apresentar informações incorretas devido a alucinações dos modelos e que a automação de tarefas pode ser explorada para execução de scripts maliciosos.
“A camada de integração entre navegação e IA representa uma nova superfície de ataque”, destacou.
Chalhoub acrescenta que muitos usuários podem superestimar a segurança desses navegadores. “A maioria das pessoas que baixa esses produtos não entende o que está compartilhando. É muito fácil importar todas as senhas e o histórico de navegação do Chrome, e os usuários muitas vezes não percebem isso, não estão realmente consentindo de forma informada.”
