Uma nova falha de segurança acendeu o alerta no mundo da tecnologia. Pesquisadores da empresa de cibersegurança Radware identificaram uma vulnerabilidade no ChatGPT que pode permitir o vazamento de informações privadas e até a inserção de dados na memória de longo prazo do assistente de IA.
O ataque foi batizado de ZombieAgent e é considerado uma evolução direta de uma falha anterior, chamada ShadowLeak, que havia sido corrigida pela OpenAI em 2025.
O que é o ataque ZombieAgent?
Diferente de métodos mais simples, o ZombieAgent usa uma estratégia bem mais sofisticada. Em vez de criar links personalizados na hora do ataque, os pesquisadores forneceram ao sistema uma lista completa de URLs pré-construídas, cada uma com apenas uma letra ou número diferente.
Com isso, o ataque consegue extrair informações caractere por caractere, driblando as barreiras de segurança sem deixar rastros visíveis nos dispositivos das vítimas — muitas vezes inseridas em ambientes corporativos altamente protegidos.
Vazamento silencioso e difícil de detectar
Um dos pontos mais preocupantes é que o ataque não exige acesso direto ao computador do usuário. A exploração acontece nos bastidores, diretamente na interação com os servidores do ChatGPT, o que torna o problema ainda mais delicado para empresas e organizações.
Segundo a Ars Technica, o ZombieAgent representa um salto técnico em relação ao ShadowLeak, justamente por conseguir contornar as proteções criadas após o primeiro incidente.
Siga o Jovem na Mídia nas redes sociais do Instagram, Facebook e Tiktok para não perder nada!
Um ciclo que se repete na IA
O caso reforça um padrão já conhecido no desenvolvimento de sistemas de IA:
- uma falha é descoberta;
- a empresa corrige o problema;
- pesquisadores (ou atacantes) encontram novas formas de contornar a correção.
Foi exatamente isso que aconteceu após as proteções contra o ShadowLeak. Com esforço considerado moderado, a Radware conseguiu desenvolver o ZombieAgent.
Por que os modelos de IA são vulneráveis?
Segundo os especialistas, o problema central está no fato de que modelos de linguagem não conseguem diferenciar claramente instruções legítimas de comandos maliciosos escondidos em e-mails, documentos ou links externos.
Essa limitação afeta praticamente todos os grandes modelos de IA do mercado, não apenas o ChatGPT.
Resposta da OpenAI e o que vem pela frente
Após a divulgação do caso, a OpenAI anunciou novas restrições: o ChatGPT não abre mais links vindos de e-mails, a menos que eles estejam em índices públicos conhecidos ou sejam fornecidos diretamente pelo usuário.
Mesmo assim, os pesquisadores alertam que essas medidas são apenas paliativas.
“As proteções atuais não resolvem o problema na raiz. Elas interrompem ataques específicos, mas não eliminam a ameaça da injeção de prompts”, afirmou a Radware.
Enquanto não houver uma solução estrutural, o risco de novos ataques segue real — especialmente para empresas que usam assistentes de IA em larga escala.
