CEVIU Logo
Voltar

PoC captura conversas de IA via extensão de navegador e exfiltra segredos corporativos

Aprofundamento CEVIU

Aprofundamento

O LLMReaper não é um ataque isolado, mas o ponto mais recente de uma escalada técnica que já vinha sendo mapeada desde 2025: extensões de navegador capturando dados de IA em tempo real sem permissões extras. Diferente de ataques baseados em injeção de prompt (como o ChatGPhish ou o exploit no ChatGPT que executa comandos de páginas web), o LLMReaper opera no nível do DOM, lê o que está visível na tela, inclusive respostas renderizadas, usando MutationObserver, uma API padrão e silenciosa. Isso o torna invisível para soluções que monitoram tráfego de rede ou interceptam APIs. O backend FastAPI não só recebe os dados, mas os processa com regex avançado e padrões estruturais para extrair chaves AWS, tokens JWT, strings de conexão de PostgreSQL/MySQL e até números de CPF e cartão de crédito, algo que vai além do que o FROST (side-channel via OPFS) ou o LLMShare (malvertising via compartilhamento de conversas) conseguem fazer.

Essa abordagem passiva já foi antecipada: em julho de 2025, a LayerX demonstrou o 'Man-in-the-Prompt', que também usava extensões para ler e injetar em campos de entrada de LLMs. Mas o LLMReaper é mais agressivo: ele não apenas lê, exfiltra e processa, e faz isso em três plataformas principais (ChatGPT, Claude, Gemini) simultaneamente, com suporte nativo a Manifest V3, o que o torna compatível com o ecossistema atual do Chrome após a remoção das permissões amplas do Manifest V2. A Microsoft Defender já detectou campanhas reais com esse perfil em março de 2026, com 900 mil instalações em ambientes corporativos, provando que o PoC virou ameaça operacional.

O que mudou

A cobertura CEVIU anterior mostrava riscos pontuais: o ChatGPhish explorava falhas de renderização de Markdown; o LLMShare abusava do recurso de compartilhamento; o FROST era um side-channel genérico. O LLMReaper une todos esses vetores em um único fluxo: captação direta do DOM + exfiltração via service worker + extração automatizada de segredos + alvo múltiplo (não só ChatGPT, mas Gemini e Claude). É a primeira PoC pública que demonstra essa cadeia completa em tempo real, com código aberto e documentação técnica detalhada, o que baixa drasticamente a barreira para replicação por outros atores. Também é a primeira a mapear explicitamente o risco às técnicas MITRE T1056.003, T1041 e T1555.003, integrando a ameaça ao quadro tático usado por equipes de resposta.

Por que isso importa

Empresas estão treinando agentes de IA com dados sensíveis, mas ainda tratam o navegador como um ambiente confiável, e não é. O LLMReaper prova que qualquer conversa feita em uma ferramenta de IA no navegador pode ser capturada por uma extensão maliciosa instalada há meses, mesmo que nunca tenha sido usada ativamente. Não é preciso enganar o usuário com phishing nem explorar uma CVE: basta uma permissão 'ler e alterar dados em sites', concedida rotineiramente a extensões legítimas como tradutores ou gerenciadores de senhas. Em ambientes corporativos, isso significa que um único clique em 'Adicionar ao Chrome' pode expor credenciais de produção, chaves de API de nuvem e dados PII antes mesmo de o time de segurança perceber. A consequência imediata não é só vazamento: é a possibilidade de pivô para ataques internos, como o descrito no caso do agente de IA que acessou bancos de dados em 4 etapas.

Linha do tempo

  1. LayerX divulga técnica 'Man-in-the-Prompt', mostrando que extensões podem ler e injetar em campos de entrada de LLMs sem permissões extras

  2. Urban VPN Proxy começa a coletar conversas de IA após atualização, afetando mais de 7 milhões de usuários

  3. Microsoft Defender detecta campanha com 900 mil instalações de extensões maliciosas que coletam conversas de LLMs em ambientes corporativos

  4. Sysdig observa primeiro ataque cibernético impulsionado por agente de IA, usando CVE para acessar bancos de dados internos

  5. Pesquisadores publicam LLMReaper, PoC que captura conversas de ChatGPT, Claude e Gemini via MutationObserver e exfiltra segredos automaticamente

Perguntas frequentes

O LLMReaper funciona apenas no Chrome?

Sim, a PoC foi desenvolvida para Chrome com Manifest V3, mas o conceito se aplica a qualquer navegador baseado em Chromium (Edge, Brave, Opera) e, com adaptação, ao Firefox. A técnica MutationObserver é padrão em todos eles. Extensões maliciosas com esse comportamento já foram encontradas no Edge e no Firefox em campanhas reais de 2026.

Desinstalar a extensão resolve o problema?

Não totalmente. Se a extensão já rodou, ela pode ter exfiltrado dados durante o uso. Além disso, o LLMReaper pode gravar dados localmente antes do envio, e alguns service workers persistem mesmo após desinstalação. A recomendação é revogar todas as chaves de API usadas em chats recentes e auditar logs de acesso a serviços como AWS, GitHub e Stripe.

Extensões de segurança, como bloqueadores de anúncios, também são suspeitas?

Sim. Pesquisas da SquareX e Koi Security mostram que extensões com permissão 'ler e alterar dados em sites', incluindo ad blockers e gerenciadores de senhas, já foram comprometidas ou modificadas para coletar conversas de IA. O risco não está no tipo de extensão, mas na permissão concedida e no histórico de atualizações do editor.

Como saber se minha empresa já foi afetada?

Verifique se há extensões instaladas nos navegadores corporativos com permissões amplas ('read and change data on all websites') e sem histórico de auditoria recente. Busque por requisições HTTP para domínios desconhecidos no service worker (via DevTools > Application > Service Workers) e analise logs de proxy para chamadas para backends FastAPI ou endpoints com padrões como '/api/exfil' ou '/webhook'. Ferramentas como mitmproxy ou ferramentas de EDR com inspeção de extensões podem identificar comportamentos suspeitos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser