Pesquisadores de segurança descobriram uma vulnerabilidade no ChatGPT que pode transformar o recurso de resumo de páginas web em uma nova superfície para ataques de phishing e roubo de informações. A técnica, batizada de ChatGPhish pela empresa de segurança Permiso Security, explora a confiança implícita do assistente de IA em links e imagens formatados em Markdown presentes em conteúdos de terceiros.

Segundo os pesquisadores, o problema ocorre porque a interface do ChatGPT processa automaticamente links e imagens encontrados em páginas que o usuário solicita para resumir. Dessa forma, conteúdos controlados por invasores podem ser incorporados à resposta da IA e exibidos diretamente dentro da interface considerada confiável pelos usuários.

Na prática, um invasor poderia inserir um pequeno trecho de código em uma página web aparentemente legítima. Caso uma vítima utilize o ChatGPT para resumir esse conteúdo, o sistema pode carregar automaticamente imagens hospedadas pelo atacante, permitindo a coleta de informações como endereço IP, User-Agent do navegador e dados de referência da navegação.

O risco vai além do rastreamento. A vulnerabilidade também possibilita que links maliciosos sejam exibidos como elementos legítimos dentro da resposta gerada pela IA. Além disso, páginas manipuladas podem induzir o ChatGPT a apresentar falsos alertas de segurança, mensagens que simulam comunicações oficiais e até códigos QR maliciosos hospedados pelos criminosos.

De acordo com a Permiso Security, a técnica representa uma evolução das chamadas injeções indiretas de prompt (Indirect Prompt Injection). Diferentemente dos ataques tradicionais, nos quais a vítima precisa abrir um arquivo ou clicar em um e-mail suspeito, basta solicitar o resumo de uma página comprometida para que instruções controladas pelo invasor sejam incorporadas ao contexto da inteligência artificial.

Os pesquisadores destacam que a ameaça se torna particularmente relevante à medida que empresas passam a utilizar ferramentas de IA para pesquisa, análise de conteúdo e sumarização de documentos. Nesse cenário, qualquer página maliciosa processada pela IA pode transformar o próprio assistente em um vetor de engenharia social.

A descoberta ocorre poucos meses após a Permiso divulgar outra técnica semelhante envolvendo o Microsoft Copilot. Na ocasião, pesquisadores demonstraram que e-mails contendo instruções ocultas podiam manipular os resultados gerados pelo assistente por meio de ataques de Cross-Prompt Injection (XPIA).

O relatório também chama atenção para uma tendência mais ampla: o crescimento acelerado de pesquisas voltadas à exploração de agentes de inteligência artificial e ferramentas de desenvolvimento assistidas por IA.

A empresa Adversa AI revelou recentemente duas novas técnicas chamadas SymJack e TrustFall. Ambas têm como alvo agentes de programação baseados em IA e podem resultar em execução remota de código e comprometimento total da máquina da vítima.

No caso do SymJack, um repositório malicioso induz o agente de IA a copiar arquivos aparentemente inofensivos que, na realidade, alteram sua própria configuração interna. Após uma reinicialização, um servidor MCP (Model Context Protocol) controlado pelo atacante é iniciado automaticamente, executando código arbitrário com os privilégios do usuário.

Já o TrustFall utiliza configurações preparadas para aprovar automaticamente a execução de um servidor MCP malicioso. Nesse cenário, basta que um desenvolvedor clone um repositório comprometido e aceite a mensagem de confiança da pasta para que o código do invasor seja executado com acesso completo ao sistema.

Os pesquisadores também reuniram diversos estudos recentes que demonstram a crescente sofisticação dos ataques contra modelos de IA. Entre eles estão técnicas capazes de contornar proteções de segurança em modelos de linguagem, manipular sistemas de visão computacional, sequestrar extensões de navegador integradas a assistentes de IA e transformar injeções de prompt em execução remota de código.

Outra descoberta relevante envolve vulnerabilidades no Microsoft Semantic Kernel, identificadas como CVE-2026-25592 e CVE-2026-26030, que poderiam permitir a escalada de ataques de prompt injection para comprometimento do sistema hospedeiro.

Pesquisadores também identificaram falhas em ferramentas como Claude Code, BrowserOS, OpenClaw e NemoClaw, além de ecossistemas inteiros de extensões e habilidades para agentes de IA que apresentam problemas como distribuição de malware, vazamento de credenciais, exposição de segredos e execução de código malicioso.

O avanço dessas pesquisas reforça uma preocupação crescente no setor: conforme modelos de IA se tornam mais autônomos e integrados a ambientes corporativos, repositórios de código, navegadores, plataformas SaaS e infraestruturas em nuvem, a superfície de ataque também se expande.

Segundo pesquisadores da Palo Alto Networks, agentes baseados em grandes modelos de linguagem já conseguem automatizar etapas completas de reconhecimento, exploração, escalonamento de privilégios e exfiltração de dados com mínima intervenção humana. Embora muitas dessas técnicas não sejam novas, a capacidade de automação proporcionada pela IA reduz significativamente a barreira técnica para a realização de ataques complexos.