Falha no ChatGPT Operator pode expor dados pessoais através de prompt injection

O ChatGPT Operator, ferramenta avançada da OpenAI disponível para utilizadores do ChatGPT Pro, foi recentemente analisado devido a vulnerabilidades que podem comprometer a segurança de dados pessoais. A exploração ocorre através de prompt injection, uma técnica que manipula o agente de inteligência artificial para extrair e divulgar informações confidenciais.

Segundo uma investigação divulgada no blog de wunderwuzzi, o prompt injection permite que atacantes incorporem instruções maliciosas em conteúdos web, levando o ChatGPT Operator a interagir de forma indevida com páginas autenticadas. Entre os riscos identificados, destaca-se o sequestro do operador via prompt injection, a navegação automatizada para páginas protegidas e a extração de dados pessoais para sites de terceiros sem necessidade de submissão de formulários.

Esta vulnerabilidade pode ser explorada em diversas plataformas, como o Booking.com e o The Guardian. Numa das demonstrações realizadas, o ChatGPT Operator foi induzido a aceder à conta de um utilizador na YC Hacker News, copiar o seu endereço de email privado e colá-lo num campo de entrada de um site malicioso, transferindo, assim, a informação para um servidor externo.

A OpenAI já implementou medidas para mitigar o risco destas explorações, entre elas a monitorização das ações do operador, pedidos de confirmação para determinadas tarefas e avisos intrusivos ao ultrapassar limites sensíveis. No entanto, estas defesas não eliminam totalmente a ameaça, uma vez que tanto os ataques como as proteções dependem de fatores probabilísticos.