Resumo
Pesquisadores e uma empresa de inteligência de ameaças relataram vulnerabilidades no ChatGPT que permitiam exfiltrar dados de serviços conectados — incluindo Gmail, Outlook, Google Drive e GitHub — explorando as features Connectors e Memory. As falhas receberam nomes como ShadowLeak e ZombieAgent; a correção foi aplicada pela OpenAI em etapas durante 2025, segundo o relato.
Descoberta e escopo
O comportamento abusado envolvia duas funcionalidades do serviço: os Connectors, que permitem integrar o modelo a serviços externos (Gmail, GitHub, Google Drive, Teams, etc.), e a Memory, que armazena conversas e entradas para personalização. As técnicas descritas permitiam vazamento sem interação do usuário (zero‑click) e variantes one‑click quando o usuário fazia upload de arquivos manipulados.
Vetor e método de exfiltração
Relatório público, citado pelo portal Cyber Security News e originado em análise da Radware via BugCrowd, descreve cadeias que incluíam:
- arquivos ou mensagens com instruções ocultas (texto branco, fontes mínimas, rodapés) que induzem o agente a ler e executar conteúdo;
- uso do mecanismo browser.open() nos servidores da OpenAI para efetuar chamadas a URLs de exfiltração;
- bypass de bloqueios dinâmicos por meio de URLs pré‑construídas (uma URL por caractere) que permitiam montar uma saída sequencial sem construir dinamicamente a URL no servidor;
- persistência por meio de regras de Memory que ordenavam ao agente a leitura e envio de conteúdo específico em cada interação (ZombieAgent).
Evidências e cronologia
Segundo o texto consultado, a Radware reportou as questões em 26 de setembro de 2025 via BugCrowd. A OpenAI teria corrigido o problema identificado como ShadowLeak em 3 de setembro (nota: o relatório indica essa data de correção para ShadowLeak) e completado a correção do conjunto de problemas em 16 de dezembro de 2025, após reprodução dos vetores documentados.
Alcance e limites conhecidos
As técnicas exploravam a interação entre Connectors e Memory e, quando bem‑sucessidas, possibilitavam vazamento de conteúdos presentes nos serviços conectados (caixas de entrada, repositórios, drives). O texto também descreve mecanismos de propagação — recolhimento automático de endereços de e‑mail e envio de payloads — que ampliariam o impacto organizacional. A OpenAI implementou limitações, como bloqueio de modificações dinâmicas de URLs, mas pesquisadores demonstraram formas de contornar controles através de arquiteturas de URL estáticas.
Mitigações e orientações
Conforme o relatório, recomendações práticas incluem monitoramento mais estreito de comportamentos de agentes (agent behaviors), saneamento de entradas (sanitizing inputs) e restrição das permissões concedidas a conectores e integrações. Não há, no material consultado, uma lista formal de IOCs ou exemplos de endereços utilizados para exfiltração; equipes devem basear ações em auditoria das integrações ativas e em atualizações oficiais do fornecedor.
O que a documentação diz
“OpenAI blocked dynamic URL modifications,”
mas o relato da Radware mostra que técnicas alternativas foram usadas para contornar esse bloqueio. A publicação também enfatiza que a plena mitigação das variantes foi alcançada apenas após um ciclo de correções que terminou em dezembro de 2025.
Conclusão e próximos passos
As falhas descritas expõem riscos inerentes a agentes com acesso a múltiplos sistemas. Organizações que utilizam integrações de LLMs devem revisar permissões de Connectors, desabilitar memórias não necessárias para contas críticas e aplicar princípios de menor privilégio. Onde possível, isolar contas com privilégios elevados e auditar o uso de APIs e chamadas realizadas por agentes automatizados.
Fontes
Relato e análise publicados pelo portal Cyber Security News, com referência ao relatório técnico da Radware e notas de correção da OpenAI mencionadas no material.