Código HTML do Conteúdo
Post: ShadowLeak chega: um bug de 0 clique no ChatGPT leva à exfiltração de dados confidenciais
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:19 setembro 2025 07:39</b></span></p>
<p>Uma nova ameaça está começando a surgir no mundo da TI: o mundo dos agentes de inteligência artificial.</p>
<p>ShadowLeak é um recém-descoberto <strong>injeção de prompt indireto (IPI) sem cliques</strong> vulnerabilidade que ocorre quando o ChatGPT da OpenAI está conectado ao Gmail corporativo e tem permissão para navegar na web.</p>
<h2>Como funciona o ShadowLeak</h2>
<p>O ataque, descoberto pela Radware, explora a vulnerabilidade enviando um e-mail de aparência legítima que incorpora silenciosamente instruções maliciosas em código HTML invisível ou não óbvio. Quando um funcionário pede ao assistente para <em>“Recapitule os e-mails de hoje”</em> ou <em>“Pesquisar um tópico na minha caixa de entrada”,</em> O agente captura a mensagem armadilhada e, <strong>sem interação adicional do usuário, exfiltra dados confidenciais chamando uma URL controlada pelo invasor com parâmetros privados (por exemplo, nomes, endereços e informações internas e confidenciais).</strong></p>
<p>É importante observar que a solicitação da Web <strong>é executado pelo agente na infraestrutura de nuvem da OpenAI,</strong> o que causa <strong>o vazamento de dados se origina diretamente dos servidores da OpenAI.</strong> Ao contrário do divulgado anteriormente <em>injeção indireta de prompt</em> vulnerabilidades, a solicitação maliciosa e os dados privados nunca passam pelo cliente ChatGPT. Como resultado, a organização afetada não tem mais vestígios óbvios para monitorar ou evidências forenses para analisar em suas fronteiras.</p>
<p>Essa classe de explorações se alinha com os riscos mais amplos descritos na emergente Internet dos Agentes: inteligência artificial autônoma que usa diferentes ferramentas e opera em diferentes protocolos e serviços. À medida que as organizações integram esses assistentes em caixas de entrada, CRMs, sistemas de RH e SaaS, o risco de negócios muda de “o que o modelo diz” para “o que o agente faz”.</p>
<h2>Engenharia Social para Pessoas Aplicada a Máquinas</h2>
<p>A astúcia do invasor se estende à engenharia social para máquinas e também para pessoas.</p>
<p>Em execuções repetidas, <a href="https://www.radware.com/security/threat-advisories-and-attack-reports/shadowleak/" target="_blank">relatórios Radware</a>, o ataque funcionou cerca de metade do tempo com um prompt simples e um URL de exfiltração simples, como https://hr-service.net/{params}. Um adversário determinado usando prompts melhores e um domínio que reflete a intenção do prompt malicioso pode obter resultados muito melhores.</p>
<p>Nos testes, as taxas de sucesso melhoraram significativamente quando a urgência foi adicionada ao prompt de prompt e o endpoint de exfiltração foi feito de forma semelhante a uma verificação de conformidade com um endpoint de pesquisa de diretório de funcionários: https://compliance.hr-service.net/public-employee-lookup/{params}.</p>
<p>O raciocínio interno do agente agora trata o prompt malicioso como parte de uma tarefa urgente de conformidade de RH.</p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>