A descoberta de sete vulnerabilidades graves no ChatGPT pela empresa de cibersegurança Tenable representa uma das ameaças mais preocupantes no ecossistema de inteligência artificial. Neste artigo do blog Dolutech, vamos explorar em profundidade as falhas batizadas como “HackedGPT” que afetam tanto o GPT-4o quanto o recém-lançado GPT-5, expondo dados sensíveis de centenas de milhões de utilizadores em todo o mundo.
O Que São as Vulnerabilidades HackedGPT
A Tenable Research identificou um conjunto de sete vulnerabilidades críticas que expõem utilizadores do ChatGPT a riscos sem precedentes de roubo de dados. Estas falhas permitem que atacantes contornem os mecanismos de segurança da plataforma através de técnicas sofisticadas de injeção indireta de prompts, criando uma cadeia completa de ataque que vai desde a infiltração inicial até à exfiltração persistente de informações privadas.
O que torna estas vulnerabilidades particularmente alarmantes é que várias delas continuam ativas no GPT-5, o modelo mais recente da OpenAI, apesar das promessas de segurança aprimorada. A Dolutech analisa cada uma destas falhas para que profissionais de TI e utilizadores corporativos possam compreender a dimensão real da ameaça.
As Sete Vulnerabilidades Descobertas
1. Injeção Indireta através de Sites Confiáveis
A primeira vulnerabilidade permite que atacantes ocultem comandos maliciosos dentro de conteúdo aparentemente legítimo, como comentários em blogs, posts em redes sociais ou artigos online. Quando o ChatGPT acede a esses sites para resumir ou analisar o conteúdo através da sua ferramenta de navegação web, o modelo segue cegamente as instruções ocultas sem identificar que está a ser manipulado.
Esta técnica é particularmente perigosa porque explora a confiança que o sistema deposita em fontes externas. Um atacante pode simplesmente deixar comentários em sites populares e aguardar que utilizadores peçam ao ChatGPT para resumir esses conteúdos.
2. Injeção Indireta 0-Click no Contexto de Pesquisa
Possivelmente a mais perigosa das vulnerabilidades, esta falha permite compromisso sem qualquer interação do utilizador. Quando um utilizador faz uma pergunta que requer pesquisa na web, o componente SearchGPT pode encontrar páginas indexadas com código malicioso. O simples ato de fazer uma pergunta desencadeia a exploração, resultando numa fuga de dados com uma única instrução.
Nós verificamos que atacantes podem criar websites sobre tópicos específicos, injetar prompts visíveis apenas ao crawler do SearchGPT e aguardar a indexação. Quando utilizadores pesquisam informações relacionadas, o ChatGPT automaticamente acede aos sites comprometidos e é infetado, tudo isto sem que o utilizador clique em qualquer link ou tome qualquer ação direta.
3. Injeção de Prompt via 1-Click
Esta vulnerabilidade permite que atacantes incorporem comandos ocultos em links aparentemente inofensivos, como URLs no formato https://chatgpt.com/?q={Prompt}. Um único clique ativa as instruções maliciosas sem que o utilizador perceba que está a executar comandos prejudiciais.
4. Injeção de Conversação (Conversation Injection)
A técnica de Conversation Injection explora o sistema de navegação do ChatGPT para inserir comandos em conversas ativas. O atacante manipula o SearchGPT, que por sua vez injeta um prompt no ChatGPT através da sua própria resposta, criando uma cadeia de comprometimento entre componentes de IA.
5. Ocultação de Conteúdo Malicioso
A Tenable descobriu uma falha na renderização de markdown que permite ocultar conteúdo malicioso dos utilizadores. Quando blocos de código são renderizados, qualquer conteúdo que apareça na mesma linha após a abertura do bloco não é exibido. Isto significa que, a menos que seja copiado, o conteúdo malicioso permanece invisível ao utilizador, apesar de ser processado pelo ChatGPT.
6. Bypass de Mecanismos de Segurança
O ChatGPT utiliza um endpoint chamado url_safe para verificar URLs antes de serem mostrados ao utilizador. A Tenable descobriu que é possível contornar esta proteção usando links de rastreamento do Bing (bing.com/ck/a). Como o Bing é considerado confiável, estes links passam pela verificação de segurança, permitindo que atacantes exfiltrem informações uma letra de cada vez através de links estáticos indexados.
7. Injeção de Memória Persistente
Esta é talvez a vulnerabilidade mais insidiosa do conjunto HackedGPT. A técnica permite que instruções maliciosas sejam guardadas na função de memória de longo prazo do ChatGPT. Mesmo após o utilizador fechar a aplicação, a ameaça persiste e o modelo continua a executar comandos maliciosos, como exfiltração de dados privados, em sessões futuras até que a memória seja manualmente eliminada.
Moshe Bernstein, engenheiro sénior de pesquisa da Tenable, afirma: “Individualmente, estas falhas parecem pequenas, mas juntas formam uma cadeia completa de ataque, desde a injeção e evasão até ao roubo e persistência de dados. Isto mostra que os sistemas de IA não são apenas alvos potenciais; podem ser transformados em ferramentas de ataque que silenciosamente recolhem informações de conversas e navegação quotidianas.”
Arquitetura Vulnerável: SearchGPT vs ChatGPT
Para compreender plenamente estas vulnerabilidades, é essencial entender como o ChatGPT processa informações externas. A Dolutech explica que o sistema utiliza dois componentes distintos:
SearchGPT: Um modelo de linguagem alternativo com capacidades significativamente reduzidas, responsável por navegar na web. Este componente não tem acesso às memórias ou contexto do utilizador como medida de isolamento.
ChatGPT: O modelo principal que interage diretamente com o utilizador e tem acesso completo ao histórico de conversações e memórias pessoais.
O problema surge quando o SearchGPT, apesar de ser suscetível a injeção de prompts durante a navegação, passa informações contaminadas de volta ao ChatGPT. Embora o SearchGPT teoricamente proteja os dados do utilizador por não ter acesso a eles, as técnicas de Conversation Injection permitem que atacantes utilizem o SearchGPT para injetar comandos diretamente no ChatGPT, que possui acesso total aos dados sensíveis.
Impacto nos Utilizadores e Organizações
As implicações destas vulnerabilidades são vastas e preocupantes. Centenas de milhões de utilizadores que interagem diariamente com modelos de linguagem podem estar vulneráveis a estes ataques. Para organizações que utilizam o ChatGPT em ambientes corporativos, os riscos incluem:
Exfiltração de Dados Corporativos: Informações confidenciais partilhadas em conversas podem ser roubadas sem conhecimento da organização.
Comprometimento de Credenciais: Dados de autenticação e acesso a sistemas integrados podem ser capturados.
Manipulação de Respostas: Atacantes podem influenciar as respostas da IA para disseminar desinformação ou orientar decisões empresariais.
Persistência de Ameaças: A injeção de memória persistente significa que uma única exploração pode comprometer um utilizador por tempo indeterminado.
Nós observamos que estas vulnerabilidades são particularmente críticas para profissionais que utilizam o ChatGPT para processar documentos sensíveis, analisar dados confidenciais ou tomar decisões estratégicas baseadas em pesquisas online realizadas pela IA.
Cenários de Ataque no Mundo Real
A Tenable demonstrou múltiplas provas de conceito que ilustram como estas vulnerabilidades podem ser encadeadas para efeitos devastadores:
Ataque via Comentários de Blog: Atacantes espalham prompts maliciosos em secções de comentários de blogs populares e sites de notícias. Quando utilizadores pedem ao ChatGPT para resumir esses artigos, desencadeiam involuntariamente a injeção de prompt, levando a ataques de phishing ou roubo de dados.
Compromisso Zero-Click baseado em Eventos: Atacantes criam websites sobre tópicos específicos, injetam prompts que aparecem apenas quando o SearchGPT navega por eles e aguardam que os sites sejam indexados. Quando utilizadores pesquisam informações relacionadas com esses tópicos, o ChatGPT automaticamente acede aos sites maliciosos e fica comprometido. Esta vulnerabilidade sem precedentes permite ataques direcionados baseados em eventos atuais, tendências políticas ou interesses de nicho, afetando qualquer pessoa que dependa da funcionalidade de pesquisa com IA.
Manipulação de Memória para Vigilância Contínua: Através da técnica de Memory Injection, atacantes podem atualizar as memórias de um utilizador para incluir instruções de exfiltração de dados que serão executadas em todas as respostas subsequentes do ChatGPT. Isto cria uma ameaça persistente que continua a vazar informações privadas através de diferentes conversas, sessões e até dias após o comprometimento inicial.
Contexto Regulatório: NIS2 e Portugal
A descoberta destas vulnerabilidades ocorre num momento crítico para a cibersegurança em Portugal. Com a recente aprovação da Lei n.º 59/2025, que autoriza a transposição da Diretiva NIS2 (Network and Information Security 2) para a legislação nacional, organizações portuguesas enfrentam requisitos regulatórios cada vez mais rigorosos.
A Diretiva NIS2, publicada pela União Europeia, expande significativamente o âmbito de entidades obrigadas a adotar medidas rigorosas de cibersegurança. O Centro Nacional de Cibersegurança (CNCS) está a desenvolver um portal específico para a NIS2, onde as entidades poderão verificar se estão em conformidade com os requisitos da diretiva.
Para organizações que utilizam ferramentas de IA como o ChatGPT, as vulnerabilidades HackedGPT representam um desafio adicional no cumprimento da NIS2. A diretiva exige:
- Análise rigorosa dos riscos de cibersegurança
- Tratamento eficaz de incidentes
- Segurança da cadeia de abastecimento (incluindo fornecedores de IA)
- Notificação imediata de incidentes significativos
As entidades classificadas como essenciais podem enfrentar coimas até 10 milhões de euros ou 2% do volume de negócios global anual por incumprimento. Para entidades importantes, as coimas podem atingir 7 milhões de euros ou 1,4% do volume de negócios.
Medidas de Mitigação e Proteção
Embora a OpenAI tenha corrigido algumas das vulnerabilidades após a divulgação responsável pela Tenable, várias falhas permanecem ativas no GPT-5. A Dolutech recomenda que organizações e utilizadores implementem as seguintes medidas defensivas:
Para Utilizadores Individuais
Desativar Funcionalidades de Risco: Considere desativar o histórico de conversações e a funcionalidade de memória até que todas as vulnerabilidades sejam corrigidas.
Exercer Cautela com Links: Não clique em links suspeitos que direcionem para o ChatGPT, especialmente aqueles com parâmetros de query como chatgpt.com/?q=.
Limitar Informações Sensíveis: Evite partilhar dados confidenciais, credenciais ou informações corporativas críticas em conversas com o ChatGPT.
Verificar Respostas Anómalas: Esteja atento a respostas estranhas, links inesperados ou comportamento incomum que possa indicar comprometimento.
Revisar e Limpar Memórias: Reveja periodicamente as memórias armazenadas pelo ChatGPT e elimine qualquer conteúdo suspeito ou inesperado.
Para Organizações
Tratar IA como Superfície de Ataque: Reconheça que sistemas de IA não são apenas ferramentas, mas potenciais vetores de ataque que requerem monitorização e governança rigorosas.
Implementar Controlo de Acesso: Limite o uso corporativo do ChatGPT e de ferramentas similares, especialmente para processar informações sensíveis.
Isolamento de Funcionalidades: Se possível, utilize versões empresariais com controlo sobre funcionalidades de navegação web e memória.
Monitorização Contínua: Estabeleça sistemas de deteção para identificar padrões anómalos que possam indicar injeção de prompts ou manipulação.
Auditoria Regular: Realize auditorias periódicas do uso de IA na organização para identificar potenciais exposições de dados.
Formação em Consciencialização: Eduque colaboradores sobre os riscos de injeção de prompts e práticas seguras ao utilizar ferramentas de IA.
Para Fornecedores de IA
A Tenable recomenda que fornecedores de IA implementem:
Princípios Zero-Trust: Aplicar validação rigorosa a todas as entradas, independentemente da fonte.
Isolamento e Sandboxing: Isolar funcionalidades de navegação web e memória para prevenir manipulação entre contextos.
Validação de Filtros de Segurança: Garantir que mecanismos como url_safe funcionam corretamente e não podem ser contornados.
Transparência de Dados: Fornecer aos utilizadores visibilidade completa sobre que informações estão armazenadas e como são utilizadas.
O Futuro da Segurança em IA
As vulnerabilidades HackedGPT representam apenas a ponta do iceberg no que diz respeito aos desafios de segurança em sistemas de inteligência artificial. À medida que modelos de linguagem se tornam cada vez mais integrados em processos empresariais e infraestruturas críticas, a superfície de ataque expande-se exponencialmente.
Nós acreditamos que este caso evidencia uma verdade fundamental: o potencial da IA generativa deve ser equiparado com supervisão de segurança igualmente avançada. A injeção de prompts, seja direta ou indireta, é uma fraqueza inerente ao modo como os modelos de linguagem funcionam e, infelizmente, provavelmente não será resolvida sistematicamente no futuro próximo.
Para Portugal e Europa, com a implementação da NIS2 e o reforço das competências do CNCS, existe uma oportunidade de estabelecer padrões rigorosos para o uso seguro de IA em setores críticos. A criação do Conselho Superior de Segurança do Ciberespaço e o desenvolvimento de novos quadros de referência em cibersegurança são passos importantes nessa direção.
Conclusão
As vulnerabilidades HackedGPT descobertas pela Tenable expõem uma realidade desconfortável: mesmo as plataformas de IA mais avançadas e amplamente utilizadas apresentam falhas críticas de segurança que podem comprometer milhões de utilizadores. Com técnicas que vão desde ataques zero-click até injeção de memória persistente, atacantes dispõem agora de um arsenal sofisticado para explorar sistemas que milhões de pessoas utilizam diariamente para tarefas profissionais e pessoais.
Para organizações portuguesas preparando-se para a conformidade com a NIS2, estas vulnerabilidades servem como um lembrete urgente de que a segurança cibernética não pode ser uma reflexão tardia. Ferramentas de IA devem ser tratadas com o mesmo rigor que qualquer outro componente crítico da infraestrutura digital, com governança adequada, monitorização contínua e planos de resposta a incidentes bem definidos.
A Dolutech continuará a acompanhar os desenvolvimentos relacionados com as vulnerabilidades HackedGPT e a evolução do panorama de segurança em inteligência artificial, fornecendo análises técnicas detalhadas e recomendações práticas para profissionais de cibersegurança.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
