SÃO PAULO, SP (FOLHAPRESS) – Pesquisadores de segurança digital alertam para o risco de que os recém-lançados navegadores baseados em inteligência artificial, como o ChatGPT Atlas da OpenAI e o Comet da Perplexity, vazem dados sensíveis de usuários, como endereços de email e senha.
Esses novos aplicativos tentam competir com gigantes estabelecidos como Google Chrome e Microsoft Edge. Para isso, as startups de IA prometem facilitar a vida do usuário, procurando cupons de desconto, comprando passagens ou buscando o segundo exato de uma fala no Youtube.
Na vulnerabilidade já mencionada por diversos especialistas, os criminosos injetariam memórias falsas no modelo de inteligência artificial usando um link como vetor da infecção. O clique do usuário abriria uma janela da plataforma alvo e executaria um comando preparado para tomar o controle do modelo de linguagem (como ChatGPT e Gemini, entre outros, são chamados).
Parte dos especialistas diz que nem sequer um clique seria necessário, já que qualquer arquitetura de página na web (como um algoritmo simples no formato de receita de bolo) pode ter um comando escondido. Um dos recursos dos novos modelos é ler sites, incluindo seus scripts internos, para executar tarefas pelo usuário.
Embora existam relatórios de fontes variadas que mostraram a viabilidade desse ataque, OpenAI e Perplexity afirmam que seus usuários não reportaram ocorrências dessa tática, chamada de “prompt injection”.
O esquema já é conhecido nos debates de cibersegurança e funciona em qualquer navegador. A diferença é que os usuários estão sempre conectados às plataformas de IA quando usam o Comet ou o Atlas, o que facilita a comunicação dos criminosos com o modelo de linguagem. Além disso, os novos navegadores conferem mais controle aos chatbots durante a navegação para, por exemplo, clicar em botões ou preencher formulários.
As empresas dizem que combatem o problema atualizando suas defesas de forma constante e pagando recompensa para quem encontre bugs. OpenAI e Perplexity ainda afirmam que todos os erros encontrados foram corrigidos antes de afetar usuários.
Comet e Atlas também permitem que o usuário proíba acesso aos dados dos sites visitados, desde que ele desista de algumas funções de IA generativa.
Mesmo assim, o coordenador da seção de crimes de alta tecnologia da Interpol, Ivo Peixinho, chamou Comet e Atlas de “os terrores da segurança”. “A recomendação é que não se use esses browsers [navegadores] de IA no ambiente corporativo”, afirmou durante o evento Cyber Security Summit.
O alerta dele tem, entre outras referências, um relatório da empresa de cibersegurança israelense LayerX, especializada na proteção de navegadores.
Em vídeo detalhando o ataque, a LayerX omite qual seria o comando para tomar controle do modelo de IA para evitar ajudar criminosos. Existem artigos técnicos com exemplos desses ataques, já corrigidos depois que as companhias dos modelos de linguagem foram informadas.
Para o cofundador da LayerX, Or Eshed, os navegadores de IA ainda são uma tecnologia útil. “Não acho que devemos evitá-los, mas é necessário usá-los com camadas extras de proteção”, disse. Eshed liderou a equipe que desmantelou a maior operação cibercriminosa contra navegadores, a Fireball, que usava um vírus para controlar apps de navegação foram 250 milhões de máquinas infectadas, sendo 25,3 milhões no Brasil.
Um porta-voz da OpenAI contesta os resultados apresentados pela LayerX. “Entramos em contato para mais informações e, com base no que foi fornecido até agora, não conseguimos reproduzir os resultados do relatório.”
“Não vimos nenhuma tentativa real de explorar uma brecha como essa até o momento”, acrescentou.
A Perplexity reconhece o risco dos ataques de prompt injection, mas afirma que sua posição de liderança durante anos no setor de IA fez dela uma referência em segurança.
“Temos 100% de taxa de correção em vulnerabilidades identificadas e nenhum usuário do Comet foi afetado por qualquer vulnerabilidade de segurança conhecida”, diz a empresa em nota.
