Man-in-the-Prompt: o ataque invisível que compromete ChatGPT e sistemas de IA
Uma nova ameaça cibernética está expondo vulnerabilidades críticas em ferramentas de IA como ChatGPT e Gemini. Chamado de Man-in-the-Prompt, esse ataque dispensa técnicas sofisticadas: basta uma extensão de navegador para interceptar e manipular interações com sistemas de inteligência artificial.
O vetor invisível
Pesquisas da LayerX Security revelam que qualquer extensão de navegador pode acessar e modificar prompts enviados a modelos de linguagem. Como explica Aviad Gispan, pesquisador da empresa, a exploração ocorre através do DOM (Modelo de Objeto de Documento), onde campos de entrada de chatbots são vulneráveis a leitura e alteração silenciosas – mesmo sem permissões especiais.
Mecanismo da invasão
O ataque opera em três etapas: quando o usuário abre um chatbot como ChatGPT, extensões maliciosas interceptam o texto antes do envio. Em seguida, injetam instruções ocultas para roubo de dados ou manipulação de respostas. Finalmente, o usuário recebe uma resposta aparentemente normal, enquanto informações sensíveis são extraviadas.
Alvos e riscos empresariais
A técnica foi comprovada em todas as principais plataformas: ChatGPT (OpenAI), Gemini (Google), Copilot (Microsoft), Claude (Anthropic) e DeepSeek. Os perigos são graves para empresas: roubo de código-fonte, dados financeiros e relatórios internos, além de manipulação de comportamentos de IA e bypass de firewalls. Considerando que 99% dos usuários corporativos usam extensões, o risco é sistêmico.
Estratégias de defesa
Para usuários individuais, recomenda-se: auditar extensões instaladas e limitar permissões. Organizações devem monitorar ativamente extensões em dispositivos corporativos, isolar ferramentas de IA de dados sensíveis e implementar soluções de segurança que detectem manipulação em tempo real. Técnicas emergentes como “assinatura de prompts” (verificação de integridade) e “spotlighting” (rastreabilidade de fontes) mostram-se promissoras.
Ameaça maior: Injeção de Prompt
Este ataque integra um cenário mais amplo de injeção de prompt, classificado entre as principais ameaças à segurança de IA pelo OWASP Top 10 2025. O perigo extrapola o ambiente técnico: e-mails, links ou comentários em documentos podem conter instruções ocultas que comprometem assistentes corporativos, como chatbots de suporte ou processadores de solicitações.
Entendendo os termos
Para quem não é íntimo do tema: DOM (Modelo de Objeto de Documento) é a representação estrutural de uma página web que permite a programas acessarem e modificarem seu conteúdo; injeção de prompt consiste em inserir comandos ocultos em entradas de texto para manipular o comportamento de sistemas de IA; já o OWASP é um projeto internacional que cataloga vulnerabilidades críticas em softwares.
Esta pesquisa expõe uma vulnerabilidade paradoxal: a sofisticação da inteligência artificial é minada por brechas elementares em interfaces básicas. O caso Man-in-the-Prompt demonstra que a segurança de IA não pode focar apenas em servidores ou modelos – deve abranger todo o ecossistema digital, desde extensões de navegador até campos de texto aparentemente inocentes. À medida que ferramentas generativas se integram ao fluxo de trabalho humano, proteger esses canais torna-se tão crucial quanto desenvolver os próprios algoritmos.
Redação do Movimento PB com informações de Salvatore Lombardo e Pierluigi Paganini
Redação do Movimento PB [DSR-DEE-18082025-7F8G9H-R1]