ShadowLeak: Vulnerabilidade Zero-Click no ChatGPT vaza dados do Gmail via Deep Research

Pesquisadores de segurança cibernética descobriram uma falha zero-click no agente Deep Research do OpenAI ChatGPT que permite vazar dados sensíveis da caixa de entrada do Gmail com um único e-mail manipulado, sem qualquer ação do usuário.

O ataque, denominado ShadowLeak pela Radware, utiliza injeção indireta de prompt oculta em HTML de e-mail (texto minúsculo, branco sobre branco, truques de layout) que passa despercebida pelo usuário, mas é lida e obedecida pelo agente.

Diferente de pesquisas anteriores que dependiam de renderização de imagem no lado do cliente, este ataque vaza dados diretamente da infraestrutura em nuvem da OpenAI, tornando-o invisível para defesas locais ou empresariais.

Como funciona o ataque

• O agressor envia um e-mail aparentemente inofensivo contendo instruções invisíveis
• Quando a vítima solicita ao ChatGPT Deep Research para analisar seus e-mails do Gmail
• O agente analisa a injeção de prompt maliciosa e transmite os dados em formato Base64 para o servidor do atacante
• O ataque pode ser estendido para qualquer conector suportado pelo ChatGPT (Box, Dropbox, GitHub, Google Drive, etc.)

Diferencial crítico

Ao contrário de ataques como AgentFlayer e EchoLeak que ocorrem no lado do cliente, a exfiltração do ShadowLeak ocorre diretamente no ambiente de nuvem da OpenAI, contornando controles de segurança tradicionais.

Contexto adicional

A divulgação coincide com demonstrações de que prompts inteligentemente elaborados podem subverter as proteções do agente ChatGPT para resolver CAPTCHAs baseados em imagem, destacando a necessidade de integridade de contexto e testes contínuos de segurança.

A OpenAI corrigiu a vulnerabilidade em agosto de 2025 após divulgação responsável em junho do mesmo ano.