CEVIU Logo
Voltar

ChatGPT executa instruções de páginas web e pode redirecionar usuários a sites maliciosos

Aprofundamento CEVIU

Aprofundamento

A falha não é só de 'interpretação equivocada' de Markdown: o ChatGPT executa, sem sandbox nem validação, instruções embutidas em conteúdo externo, como links e URLs de imagens, durante a renderização de resumos. Isso transforma qualquer página web que o usuário peça para resumir em um vetor ativo de ataque. O payload malicioso pode rastrear o IP do usuário, exfiltrar User-Agent e Referer ao carregar uma imagem hospedada pelo atacante, gerar QR codes que direcionam para buckets S3 comprometidos e injetar alertas falsos no estilo de sistema operacional, tudo dentro da interface confiável do assistente. É um caso claro de confiança cega em conteúdo de terceiros, não um erro de parsing isolado.

O Modo de Bloqueio lançado pela OpenAI em 5 de junho de 2026 é uma resposta parcial: ele desabilita recursos como 'Deep Research' e impede o carregamento de imagens da web, mas não corrige a raiz do problema, a falta de separação entre conteúdo e controle na renderização de Markdown. A falha permanece ativa em modo padrão, e o bloqueio não impede que a injeção apareça no texto processado, apenas limita sua execução. Isso reflete uma tendência preocupante: soluções de mitigação reativas, não arquiteturais.

O que mudou

Na cobertura anterior de 1º de junho sobre ChatGPhish, a falha era descrita como exploração via links e URLs de imagens em resumos. Agora, com a nova descoberta da Permiso, há confirmação de que o mesmo mecanismo permite redirecionamento ativo para sites maliciosos, geração de QR codes enganosos e até simulação de notificações de sistema, um salto de exfiltração passiva para interação ativa e engenharia social multimodal. Também houve evolução na resposta da OpenAI: de negativa inicial ('não reprodutível') para classificação como 'duplicado', seguida da implementação do Modo de Bloqueio, uma mudança operacional, ainda que limitada.

Por que isso importa

Empresas que usam ChatGPT para análise de documentos, relatórios ou páginas web estão expostas a vazamentos silenciosos de metadados sensíveis (IP, navegador, origem da requisição) toda vez que um colaborador pede um resumo de conteúdo externo. Não há necessidade de download ou clique: basta o modelo processar a página. Para equipes de segurança, isso invalida suposições de confiança em ferramentas de IA como 'ambientes neutros'. O fato de a OWASP listar injeção de prompt como LLM01 no Top 10 2025 mostra que essa não é uma exceção, é a ameaça estrutural mais crítica para LLMs em produção hoje.

Linha do tempo

  1. Falha de injeção SQL no Ghost CMS explorada em campanha ClickFix

  2. Publicação da vulnerabilidade ChatGPhish no CEVIU

  3. Divulgação da nova falha de prompt injection no ChatGPT pela Permiso

Perguntas frequentes

O Modo de Bloqueio resolve a falha?

Não resolve. Ele desativa funcionalidades como carregamento de imagens e 'Deep Research', reduzindo a superfície de ataque, mas não impede que o payload de injeção apareça no texto processado. O ChatGPT ainda interpreta o Markdown malicioso, só não executa algumas ações associadas.

Como saber se minha empresa está vulnerável?

Qualquer uso do ChatGPT para resumir páginas web, PDFs ou e-mails de fontes externas, especialmente em ambientes corporativos com acesso a dados internos, representa risco. O ataque não depende de engenharia social direta: basta que o usuário peça um resumo de uma página controlada por um atacante.

Essa falha afeta apenas o ChatGPT?

Não. Em março de 2026, pesquisadores da Permiso demonstraram injeção cruzada (XPIA) no Microsoft Copilot ao resumir e-mails maliciosos. A campanha LLMShare também mostra que o problema se estende ao compartilhamento de conversas, indicando que a falha está na arquitetura de processamento de conteúdo externo, não no modelo isoladamente.

Por que a OpenAI classificou o relatório como 'duplicado'?

A empresa já havia recebido relatos anteriores sobre injeção de prompt via Markdown em resumos, mas sem a demonstração completa de impactos como QR code, phishing multimodal e exfiltração de Referer. A classificação como duplicado ocorreu após a segunda submissão, quando a Permiso detalhou os vetores adicionais, o que mostra que a gravidade foi reconhecida tardiamente.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser