NovoVocê pode ouvir as histórias da Fox News agora!
Um novo alerta de segurança cibernética revela como os hackers transformaram brevemente em arma a ferramenta de pesquisa profunda do ChatGPT. O ataque, batizado de ShadowLeak, permitiu que roubassem dados do Gmail por meio de um único prompt invisível: sem cliques, sem downloads e sem necessidade de ação do usuário.
Os pesquisadores da Radware descobriram a vulnerabilidade Zero-Click em junho de 2025. A OpenAI corrigiu-a no início de agosto após ser notificada, mas os especialistas alertam que falhas semelhantes podem reaparecer à medida que as integrações de inteligência artificial (IA) proliferam em plataformas populares como Gmail, Dropbox e SharePoint.
Inscreva-se para receber meu relatório CyberGuy gratuito
Receba minhas melhores dicas técnicas, alertas de segurança instantâneos e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você obtém acesso instantâneo ao meu Ultimate Scam Survival Guide – gratuitamente quando se juntar a mim CYBERGUY.COM/NEWSLETTER
Hacker usa chatbot de IA em onda de crimes cibernéticos
Os dados do Gmail vazaram em um ataque de clique zero, sem necessidade de ação do usuário. (Kurt “Cyberguy” Knutson)
Como funciona o ataque Shadowleak
Os invasores incorporam instruções ocultas em e-mails usando texto branco sobre branco, fontes pequenas ou truques de layout CSS. O e-mail é completamente inofensivo. Mas quando um usuário mais tarde pediu ao agente de pesquisa profunda do ChatGPT para analisar sua caixa de entrada do Gmail, a IA executou os comandos do invasor sem saber.
O agente usou suas ferramentas de navegador integradas para exfiltrar dados confidenciais localizados no próprio ambiente de nuvem da OpenAI para um servidor externo fora do alcance de antivírus ou firewalls corporativos.
Ao contrário dos ataques anteriores de injeção imediata executados no dispositivo do usuário, o ShadowLeak é liberado inteiramente na nuvem, tornando-o invisível para as defesas locais.
GOOGLE VERIFICA DADOS ROUBADOS POR GRUPO DE HACKER CONHECIDO
Alertas ocultos revelam como os hackers sequestraram silenciosamente o agente de IA do ChatGPT. (Kurt “Cyberguy” Knutson)
Por que essa ameaça é importante?
O Deep Research Agent foi projetado para realizar pesquisas em várias etapas e resumir dados on-line, mas seu amplo acesso a aplicativos de terceiros, como Gmail, Google Drive e Dropbox, abre a porta para abusos.
Os pesquisadores da Radware disseram que o ataque envolveu a codificação de dados pessoais em Base64 e a anexação deles a uma URL maliciosa disfarçada como uma “medida de segurança”. Após o envio, o agente acredita que funciona normalmente.
O perigo real reside no fato de que qualquer conector pode ser explorado de forma semelhante se um invasor puder ocultar prompts no conteúdo analisado.
O que dizem os especialistas em segurança
“O usuário nunca vê o prompt. O e-mail aparece normalmente, mas o agente segue os comandos ocultos sem questionar”, explicaram os pesquisadores.
Em um experimento separado, a empresa de segurança SPLX mostrou outra fraqueza: ela poderia enganar os agentes do ChatGPT para que resolvessem CAPTCHAs herdando um histórico de conversação manipulado. O pesquisador Dorian Schultz disse que o modelo também imita os movimentos humanos do cursor, contornando testes destinados a bloquear bots.
Esses incidentes destacam como o envenenamento do contexto e a manipulação imediata podem quebrar silenciosamente as salvaguardas da IA.
GOOGLE AI hackeia resumos de e-mail para ocultar ataques de phishing
Os especialistas alertam que futuras integrações de IA podem enfrentar a mesma ameaça oculta. (Kurt “Cyberguy” Knutson)
Como se proteger de ataques do tipo Shadowleak
Embora o OpenAI corrija a falha do Shadowleak, é aconselhável ser proativo. Os cibercriminosos estão sempre procurando novas maneiras de explorar agentes e integrações de IA, portanto, tomar essas precauções agora pode ajudar a manter suas contas e dados pessoais seguros.
1) Desative integrações não utilizadas
Cada conexão é um ponto de entrada potencial. Desative todas as integrações que você não usa ativamente, como Gmail, Google Drive ou Dropbox. Menos aplicativos vinculados significam menos maneiras de prompts ocultos ou scripts maliciosos acessarem suas informações.
2) Use um serviço de exclusão de dados pessoais
Limite a quantidade de seus dados pessoais que circulam pela web. Os serviços de remoção de dados podem remover automaticamente seus dados privados de sites de pesquisa de pessoas e bancos de dados de corretores de dados, reduzindo o que os invasores podem usar contra você. Embora nenhum serviço possa garantir a remoção completa dos seus dados da Internet, um serviço de remoção de dados é uma escolha realmente inteligente. Eles não são baratos e nem a sua privacidade. Esses serviços fazem todo o trabalho para você, monitorando ativamente e removendo sistematicamente suas informações pessoais de centenas de sites. Isso me dá tranquilidade e provou ser a maneira mais eficaz de remover seus dados pessoais da Internet. Ao limitar as informações disponíveis, você reduz o risco de os golpistas cruzarem dados de violações com informações que encontram na dark web, tornando mais difícil para eles atingirem você.
Confira minhas principais opções de serviços de remoção de dados e faça uma verificação gratuita para ver se suas informações pessoais já estão disponíveis na web visitando Cyberguy. com.
Faça uma verificação gratuita para ver se suas informações pessoais já estão na web: Cyberguy. com.
3) Evite analisar conteúdo desconhecido
Trate cada e-mail, anexo ou documento com cuidado. Não peça às ferramentas de IA para analisar conteúdo de fontes não verificadas ou duvidosas. Texto oculto, código invisível ou truques de layout podem desencadear ações silenciosas que expõem seus dados privados.
4) Verifique se há atualizações de segurança
Fique ligado nas atualizações da OpenAI, Google, Microsoft e outras plataformas. Os patches de segurança fecham vulnerabilidades recém-descobertas antes que os hackers possam explorá-las. Ative as atualizações automáticas para estar sempre protegido sem ter que se preocupar com isso.
5) Use um software antivírus forte
Um programa antivírus forte adiciona outra barreira de proteção. Essas ferramentas detectam links de phishing, scripts ocultos e explorações baseadas em IA antes que causem danos. Agende verificações regulares e mantenha sua proteção atualizada.
A melhor maneira de se proteger contra links maliciosos que instalam malware, potencialmente acessando suas informações privadas, é instalar um software antivírus forte em todos os seus dispositivos. Essa proteção alerta você sobre e-mails de phishing e golpes de ransomware, mantendo suas informações pessoais e ativos digitais seguros.
Obtenha minhas escolhas dos melhores vencedores de proteção antivírus de 2025 para seus dispositivos Windows, Mac, Android e iOS aqui Cyberguy. com.
6) Use proteção em camadas
Pense na sua segurança como uma cebola; Mais camadas tornam mais difícil quebrar. Atualize totalmente seu navegador, sistema operacional e software de segurança de endpoint. Adicione detecção de ameaças em tempo real e filtragem de e-mail para bloquear conteúdo malicioso antes que ele chegue à sua caixa de entrada.
Principais conclusões de Kurt
A IA está evoluindo mais rapidamente do que a maioria dos sistemas de segurança. Mesmo que as empresas avancem rapidamente para corrigir vulnerabilidades, invasores inteligentes encontram novas maneiras de explorar integrações e memória de contexto. Sua melhor defesa é estar vigilante e limitar o que seus agentes de IA podem acessar.
Você ainda pode confiar em um assistente de IA depois de aprender com que facilidade seu e-mail pessoal pode ser falsificado? Informe-nos escrevendo para nós em Cyberguy.com..
Inscreva-se para receber meu relatório CyberGuy gratuito
Receba minhas melhores dicas técnicas, alertas de segurança instantâneos e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você obtém acesso instantâneo ao meu Ultimate Scam Survival Guide – gratuitamente quando se juntar a mim CYBERGUY.COM Boletim informativo.
Copyright 2025 CyberGuy.com. Todos os direitos reservados.