IA Corporativa: Alerta Geral! Assistentes de IA são vulneráveis a roubo e manipulação de dados

ia corporativa: alerta geral! assistentes de ia são vulneráveis a roubo e manipulação de dados

Escrito por

em

IA Corporativa: Alerta Geral! Assistentes de IA são vulneráveis a roubo e manipulação de dados

Pesquisadores revelam falhas graves em ferramentas como ChatGPT, Copilot e Gemini, que podem ser exploradas por cibercriminosos.

A crescente integração de **assistentes de Inteligência Artificial (IA) corporativos** em ferramentas de produtividade e gestão empresarial, como ChatGPT, Copilot, Cursor, Gemini e Salesforce Einstein, tem impulsionado a eficiência, mas também abriu portas para **vulnerabilidades de segurança alarmantes**. Pesquisadores da startup de segurança em IA, Zenity, apresentaram durante a conferência Black Hat demonstrações chocantes de como essas ferramentas podem ser **abusadas para roubo e manipulação de dados**, colocando em risco informações sensíveis de empresas e usuários.

O Risco Oculto na Automação Inteligente

À medida que empresas adotam a IA generativa para otimizar fluxos de trabalho e aumentar a produtividade, a superfície de ataque para criminosos cibernéticos se expande significativamente. Os especialistas da Zenity detalharam como **ataques de injeção de prompt**, já conhecidos por serem utilizados em esquemas de phishing, podem ser adaptados para explorar a integração de IAs com plataformas corporativas. Em alguns cenários, essas ações maliciosas podem ser executadas **sem qualquer interação direta do usuário**, tornando a detecção e prevenção ainda mais desafiadoras.

Um exemplo preocupante foi demonstrado no contexto do **Microsoft Copilot no ambiente M365**. Os pesquisadores mostraram que é possível **sequestrar o Copilot** ao inserir instruções maliciosas em e-mails, mensagens do Teams ou convites de calendário. Como o chatbot processa automaticamente essas informações, um atacante pode, efetivamente, assumir o controle das funções do assistente, ganhando acesso a dados e funcionalidades restritas.

Explorando Integrações e Acessos

A integração do **ChatGPT com o Google Drive** foi outro ponto de atenção. O ataque envolve o compartilhamento de um arquivo especialmente preparado, contendo **instruções ocultas para o ChatGPT**, com o usuário alvo. Bastando conhecer o endereço de e-mail da vítima, o assistente, ao ser solicitado a processar o arquivo malicioso, executa as instruções do atacante. Um dos riscos demonstrados foi a capacidade do ChatGPT de **procurar por chaves de API no Google Drive e exfiltrá-las**, um acesso que pode conceder controle sobre outros serviços e dados.

No caso do **Copilot Studio**, que interage com a internet e possui mais de 3.000 instâncias identificadas, os pesquisadores conseguiram **sequestrar agentes para extrair informações disponíveis a eles**. Utilizado frequentemente em atendimento ao cliente, o Copilot Studio, quando abusado, pode fornecer acesso completo a sistemas críticos como o de gerenciamento de relacionamento com o cliente (CRM) de uma empresa, permitindo a **manipulação de dados** de forma extensiva.

Ameaças Diretas a Credenciais e Comunicações

A segurança do **Cursor**, quando integrado com o Jira MCP, também foi comprometida. Atacantes podem criar **tickets maliciosos que instruem o assistente a coletar credenciais** de usuários e enviá-las diretamente para o invasor. Essa técnica é particularmente perigosa em sistemas de e-mail que abrem automaticamente os tickets do Jira, uma situação já observada em centenas de casos, evidenciando a facilidade com que **dados confidenciais podem ser roubados**.

O **Einstein, da Salesforce**, não ficou imune. Instâncias que utilizam automações caso a caso podem ser exploradas através da criação de registros maliciosos. Ao serem processados, esses registros permitem que o Einstein seja **sequestrado, possibilitando ao invasor atualizar os endereços de e-mail de todos os casos**. Isso resultaria no redirecionamento de toda a comunicação com clientes para um servidor sob controle do atacante, um golpe devastador para a reputação e a segurança da empresa.

Manipulação de Informações e Respostas

Em uma demonstração focada no **Gemini**, os especialistas evidenciaram como a **injeção de prompt pode induzir a ferramenta a fornecer informações incorretas ou manipuladas**. No exemplo apresentado pela Zenity, um atacante conseguiu fazer com que o Gemini apresentasse uma conta bancária de sua propriedade, em vez da conta de um cliente solicitado pela vítima. Essa capacidade de **manipulação de dados** pode ter implicações sérias em processos de tomada de decisão e transações comerciais.

É importante notar que, enquanto as vulnerabilidades identificadas no ChatGPT e no Copilot Studio já foram corrigidas pelos respectivos fornecedores, os demais problemas apontados foram classificados como **“não serão corrigidos”** pelos fornecedores. Essa postura levanta preocupações sobre a segurança futura de sistemas que dependem dessas tecnologias e a necessidade de as empresas implementarem camadas adicionais de segurança e diligência ao integrar essas poderosas, porém potencialmente perigosas, ferramentas de IA em seus ambientes corporativos.

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *