Pesquisadores da Permiso Security divulgaram uma vulnerabilidade no ChatGPT que transforma a função de resumo de páginas web em uma superfície de phishing. A técnica, batizada de ChatGPhish, explora a confiança implícita do ChatGPT em links e imagens Markdown provenientes de páginas de terceiros, permitindo que atacantes injetem URLs maliciosos diretamente na interface do assistente.

O pesquisador Andi Ahmeti, da Permiso, demonstrou que quando um usuário pede ao ChatGPT para resumir uma página web contaminada com instruções ocultas, o assistente renderiza links clicáveis e imagens controladas pelo atacante dentro da própria resposta. Isso inclui alertas falsos de segurança no estilo visual do ChatGPT e códigos QR que, ao serem escaneados pelo celular, direcionam para páginas de phishing hospedadas em buckets S3 controlados por criminosos.

Como o ataque funciona na prática

O vetor de ataque é simples: um criminoso insere instruções invisíveis em uma página web qualquer. Quando a vítima solicita ao ChatGPT um resumo dessa página, o modelo segue as instruções ocultas e inclui, na resposta, links para domínios controlados pelo atacante e imagens que vazam o IP e o User-Agent do usuário. O mais grave: um código QR pode ser renderizado na resposta, fazendo com que a vítima escaneie com o celular e ultrapasse todos os filtros de segurança do navegador desktop.

Ahmeti reportou a vulnerabilidade à OpenAI via Bugcrowd em 29 de abril de 2026. A submissão inicial foi marcada como “não reproduzível”. Após uma nova submissão com mais detalhes em 1º de maio, a OpenAI classificou como “duplicata”. Até o momento da publicação, a Permiso não recebeu confirmação de que a falha foi corrigida.

Risco para usuários e empresas

O ChatGPT possui mais de 100 milhões de usuários ativos semanais, e no Brasil é uma das ferramentas de IA mais utilizadas em ambientes corporativos e acadêmicos. A possibilidade de que um simples pedido de resumo de página web resulte em exfiltração de dados ou credenciais comprometidas é crítica para organizações que adotaram o ChatGPT como ferramenta de produtividade.

Sob a ótica da LGPD, empresas que permitem o uso do ChatGPT em seus fluxos de trabalho podem ser consideradas controladoras de dados caso informações pessoais sejam processadas pela ferramenta. Um ataque como o ChatGPhish pode resultar em vazamento de dados sensíveis sem que a empresa tenha sequer ciência do incidente, configurando potencial violação dos princípios de segurança exigidos pela lei brasileira.

Dados técnicos do ChatGPhish

  1. 100+ milhões de usuários semanais do ChatGPT potencialmente expostos
  2. 29 de abril de 2026: primeiro reporte à OpenAI via Bugcrowd
  3. 3 vetores de ataque: links maliciosos, imagens rastreadoras e QR codes falsos
  4. Status: OpenAI não confirmou correção da vulnerabilidade

Medidas de proteção recomendadas

  • Evite solicitar resumos de páginas web desconhecidas ou não confiáveis no ChatGPT
  • Nunca clique em links ou escaneie QR codes exibidos dentro de respostas do ChatGPT sem verificar o destino real
  • Empresas devem implementar gateways de segurança que inspecionem URLs antes do acesso por colaboradores
  • Ative políticas de DLP (Data Loss Prevention) para bloquear a entrada de dados sensíveis em ferramentas de IA
  • Considere usar extensões de navegador que desabilitem renderização automática de Markdown em ambientes de IA
  • Mantenha autenticação em dois fatores ativada na conta OpenAI e use senhas únicas para o serviço

Fontes e referências