Imagine que está a conversar com o ChatGPT e, sem que nada o faça prever, as informações que partilha estão a ser enviadas para um servidor controlado por piratas informáticos. De acordo com um comunicado da Check Point Software, foi precisamente este o cenário detectado por uma equipa de especialistas em cibersegurança, que identificou uma falha estrutural na plataforma capaz de expor ficheiros e conversas privadas.
A OpenAI, empresa que desenvolve a plataforma, foi alertada e procedeu à correcção do problema a 20 de Fevereiro de 2026. Até à data, não existem indicações de que a vulnerabilidade tenha sido explorada activamente por cibercriminosos antes de ter sido neutralizada.
O canal invisível de fuga de dados
Para conseguir retirar os dados sem activar os alarmes de segurança, os investigadores exploraram o sistema de DNS (Domain Name System). De uma forma simples, o DNS funciona como uma espécie de lista telefónica da Internet: quando escrevemos o nome de um site, este sistema traduz esse nome numa morada numérica que o computador entende.
Neste caso, a vulnerabilidade permitia que o ChatGPT fosse manipulado para enviar “pedidos” a esta lista telefónica que, na verdade, escondiam pedaços de informação roubada. Como estes pedidos de localização são uma parte normal e necessária do funcionamento da rede, os sistemas de protecção tradicionais não os viam como uma ameaça, permitindo que os dados saíssem da plataforma de forma silenciosa.
Do ponto de vista de quem interage com o sistema, não havia qualquer sinal de alerta. A experiência de utilização permanecia inalterada enquanto os dados eram expostos. Este cenário é particularmente preocupante dada a tendência crescente de empresas e particulares para partilharem dados financeiros, documentos estratégicos e até informações médicas nestes modelos.
O perigo dos GPT personalizados
Um dos pontos mais sensíveis identificados pelos especialistas prende-se com a utilização de GPT personalizados. Estes modelos, criados para funções específicas, podiam ser usados para ocultar acções maliciosas. Num dos testes realizados, um GPT configurado como assistente de saúde recolhia dados clínicos enquanto garantia que nenhuma informação saía daquele ambiente, quando, na realidade, os dados seguiam directamente para servidores controlados por atacantes.
A falha ia além da privacidade, permitindo também a execução remota de comandos dentro do ambiente do ChatGPT. Esta descoberta eleva o nível de risco de uma simples fuga de dados para uma vulnerabilidade estrutural da própria plataforma. Para a Check Point, isto prova que estes sistemas devem ser encarados como ambientes de computação complexos e não apenas como meras aplicações de conversação.
Revisão da segurança empresarial
Eli Smadja, director de investigação da Check Point Research, defende que não se pode assumir que estas ferramentas são seguras. O responsável sublinha que, tal como as organizações aprenderam a não confiar cegamente na “cloud”, devem agora adoptar uma postura semelhante perante a inteligência artificial, recorrendo a arquitecturas de protecção em múltiplas camadas.
Para sectores com fortes exigências regulatórias, como a saúde ou os serviços financeiros, as implicações são severas. Uma violação deste tipo poderia resultar no incumprimento do RGPD e em prejuízos financeiros e de reputação consideráveis. Como recomendação estratégica, a tecnológica sugere que os responsáveis de segurança integrem estas plataformas no perímetro crítico das empresas, aplicando controlos rigorosos de fluxo de dados e validações independentes.
Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: feeds.feedburner.com
