Uma vulnerabilidade recém-descoberta nos Connectors do ChatGPT, funcionalidades que permitem a integração com outros serviços, como o Google Drive, expõe um risco alarmante: a extração não autorizada de dados confidenciais através de um único documento malicioso. Pesquisadores de segurança demonstraram como essa falha pode ser explorada para acessar informações armazenadas no Google Drive sem qualquer interação por parte do usuário, representando um sério problema de privacidade e segurança para indivíduos e empresas que utilizam a plataforma.
O ataque, denominado de ‘zero click’, elimina a necessidade de o usuário clicar em links suspeitos ou fornecer permissões explícitas para o acesso aos dados. Isso significa que um documento aparentemente inofensivo, ao ser processado pelo ChatGPT através de um Connector vulnerável, pode atuar como um vetor para a exfiltração de informações sensíveis. A gravidade dessa falha reside na capacidade de contornar as medidas de segurança tradicionais, tornando-a particularmente insidiosa e difícil de detectar.
A OpenAI, desenvolvedora do ChatGPT, já foi notificada sobre a vulnerabilidade e está trabalhando em uma correção. No entanto, enquanto a atualização não é amplamente distribuída, é crucial que os usuários estejam cientes dos riscos e tomem precauções adicionais ao utilizar Connectors que interagem com serviços de armazenamento de dados. A recomendação é revisar cuidadosamente as permissões concedidas aos Connectors, limitar o acesso a informações estritamente necessárias e monitorar a atividade da conta em busca de comportamentos suspeitos. A descoberta dessa falha ressalta a importância da contínua vigilância e testes de segurança em sistemas de inteligência artificial, à medida que se tornam cada vez mais integrados em nossas vidas digitais.
Origem: Link


