Imagine abrir o Gmail, acionar um recurso de IA para ajudar na organização da caixa de entrada e, sem perceber, ter seus dados mais sensíveis enviados a um invasor. Foi exatamente isso que pesquisadores da Radware demonstraram ao explorar uma falha no Deep Research, agente autônomo integrado ao ChatGPT. O experimento, batizado de Shadow Leak, revela um novo tipo de ameaça que passa longe dos antivírus tradicionais: a injeção de prompt — instruções escondidas em texto “invisível” que convencem o modelo de linguagem a obedecer ao atacante.
Embora a vulnerabilidade já tenha sido corrigida pela OpenAI, o episódio coloca holofotes sobre um problema emergente: quanto mais delegamos tarefas a agentes de IA, maior a superfície de ataque. Para quem trabalha com marketing digital, produz conteúdo em WordPress ou simplesmente depende do e-mail para negócios, entender o que aconteceu não é geek talk; é postura de defesa.
O que foi o ataque Shadow Leak
• Técnica empregada: injeção de prompt inserida no HTML de um e-mail, usando fontes minúsculas ou texto branco em fundo branco, imperceptível a olho nu.
• Alvo: o Deep Research, ferramenta lançada em 2024 pela OpenAI que lê documentos, navega na web e interage com e-mails após autorização do usuário.
• Ação: ao receber o e-mail malicioso, o usuário ativava o agente. O ChatGPT lia as instruções ocultas, vasculhava a caixa por mensagens de RH e dados pessoais e enviava o conteúdo aos invasores — tudo dentro da infraestrutura da OpenAI.
Por que o ataque passou despercebido
Ao contrário da maioria dos golpes que acontecem no dispositivo da vítima, o Shadow Leak rodou diretamente na nuvem da OpenAI. Isso significa que:
• Os logs de segurança locais não registraram atividade suspeita.
• Ferramentas de endpoint protection não tiveram visibilidade do tráfego entre o ChatGPT e o atacante.
• A técnica driblou filtros de spam tradicionais, já que o e-mail não continha links maliciosos nem anexos executáveis.
Escopo potencial além do Gmail
Segundo a Radware, qualquer serviço conectado ao Deep Research poderia ter sido afetado. Entre os exemplos citados:
• Outlook e outras contas de e-mail corporativo.
• Google Drive e Dropbox, contendo contratos e relatórios financeiros.
• GitHub, com código-fonte privado.
• Sistemas internos de CRM, onde estão dados de clientes.
A falha foi reportada à OpenAI em junho de 2024 e já recebeu correção. Ainda assim, os pesquisadores classificam o processo de exploração como uma “montanha-russa” de tentativas até encontrar um formato de prompt que burlasse as proteções iniciais.
Do código à prática: por que esse incidente vai além do susto inicial
O Shadow Leak expõe um dilema que afeta todo profissional que usa IA no fluxo de trabalho. Agentes autônomos, capazes de ler e-mails, documentos e bases de dados inteiras, são incrivelmente úteis — mas também extremamente obedientes. Quando instruções ocultas se mimetizam no conteúdo, o modelo não questiona intenções; ele apenas cumpre.
Para empresas, isso levanta a necessidade de novas camadas de segurança: validação de prompts, filtros semânticos e auditoria de logs na nuvem do provedor de IA, não apenas no endpoint local. Para criadores de conteúdo e afiliados que dependem de plataformas como Gmail e Google Drive, o alerta é claro: revisar as permissões concedidas a extensões de IA e desconfiar de qualquer e-mail com formatação estranha, mesmo que pareça inofensivo.
No longo prazo, veremos um esforço maior dos fornecedores de IA em criar “firewalls de prompt” e políticas de isolamento para evitar que instruções externas modifiquem o comportamento do agente. Até lá, a regra de ouro — desconfiar do que não se vê — volta ao centro do jogo digital.
