ChatGPhish: Como Hackers Podem Usar o Próprio ChatGPT para Aplicar Golpes de Phishing em Você

Como o ChatGPT não faz uma limpeza adequada do conteúdo em Markdown que recebe de sites antes de exibi-lo, qualquer página que a IA acessa se torna um possível vetor de phishing. É importante notar que isso não é uma invasão aos servidores da OpenAI, mas sim uma falha de segurança na forma como o conteúdo é mostrado para o usuário final — um problema que abusa da confiança visual que depositamos na interface do assistente.

A Genealogia da Ameaça: As Falhas que Levaram ao ChatGPhish

O ChatGPhish não surgiu do nada. Ele é o episódio mais recente de uma história de anos de ataques de injeção de prompt, que evoluíram a cada nova funcionalidade adicionada ao ChatGPT.

Veja a linha do tempo dos principais marcos que pavimentaram o caminho para essa vulnerabilidade:

• Novembro de 2022 — O nascimento da injeção de prompt: A técnica foi nomeada e demonstrada contra o GPT-3 apenas 13 dias antes do lançamento do ChatGPT. Horas depois do lançamento, usuários já conseguiam driblar as proteções do assistente com comandos criativos de interpretação de papéis .
• 2023–2024 — Injeção indireta e roubo de dados por Markdown: Pesquisadores descobriram que dava para usar a forma como o ChatGPT exibe imagens em Markdown para vazar conversas. Hackers inseriam comandos maliciosos em sites públicos e, quando a IA interagia com eles, gerava respostas com links de imagem que, ao serem carregados, enviavam dados da conversa para servidores externos .
• Maio de 2024 — Roubo de dados pessoais pela memória: Um estudo acadêmico mostrou que os modelos ChatGPT 4 e 4o eram suscetíveis a ataques que podiam recuperar dados pessoais dos usuários, com o recurso de memória da IA ampliando o risco da exposição .
• Março de 2025 — CVE-2025-43714 (Injeção de HTML/SVG): Descobriu-se que o ChatGPT exibia arquivos SVG diretamente no navegador, em vez de tratá-los como texto simples. Isso permitia que criminosos injetassem HTML para criar ataques de phishing direto na interface da IA .
• Fevereiro–Março de 2026 — Roubo de dados por DNS e imagens Markdown: Uma falha no ambiente de execução de código, divulgada pela Check Point, permitia o envio de dados da conversa por meio de consultas de DNS. A OpenAI corrigiu o problema em 20 de fevereiro de 2026. No mesmo período, uma técnica similar usava links de imagem maliciosos em Markdown para vazar logs de chat e comandos do sistema pelo mesmo método .
• Maio de 2026 — ChatGPhish: Esta vulnerabilidade une várias técnicas anteriores: a injeção indireta de comandos, a renderização de Markdown não confiável e o recurso de sumarização. A grande novidade é o seu uso para phishing ativo — exibindo conteúdo malicioso em tempo real na interface do ChatGPT —, em vez do roubo silencioso de dados que marcou os ataques anteriores .

A repetição desse padrão deixa claro que cada nova capacidade do ChatGPT abre uma nova porta para ataques, e o renderizador de Markdown se mostra, repetidamente, o elo mais fraco, pois confia cegamente no conteúdo de páginas externas.

O Silêncio da OpenAI até o Momento

Até os dias 29 e 30 de maio de 2026, os relatos documentam a divulgação pública do ChatGPhish pela Permiso Security, mas não havia nenhuma declaração ou correção oficial da OpenAI específica para essa vulnerabilidade .

É verdade que a empresa não estava parada. Em maio de 2026, ela lidou com dois incidentes de segurança diferentes, sem relação com o ChatGPhish:

• 13 de maio de 2026: A OpenAI publicou sua resposta ao ataque à cadeia de suprimentos do pacote TanStack npm (conhecido como “Mini Shai-Hulud”), confirmando que dois dispositivos de funcionários foram comprometidos, mas que nenhum dado de usuário foi acessado .
• 14 de maio de 2026: A empresa forçou a atualização do seu aplicativo ChatGPT para macOS como parte da contenção desse mesmo incidente .

A ausência de uma resposta para o ChatGPhish é preocupante. Enquanto não há uma correção, o recurso de sumarização da web permanece exposto, e o público já conhece um caminho de phishing que exige apenas que a vítima peça para o ChatGPT resumir uma página preparada para o golpe.

O Que Isso Significa para Você e Sua Empresa

O ChatGPhish é perigoso porque ataca a confiança que torna os assistentes de IA tão úteis. Quando o ChatGPT navega na web, resume uma página e mostra links, o usuário não tem nenhum sinal visual de que aquilo veio de uma fonte externa não confiável, e não da própria OpenAI.

Para empresas que permitem o uso do recurso de navegação do ChatGPT, a recomendação dos especialistas é tratar qualquer resumo da web como uma fonte potencialmente perigosa até que a OpenAI lance uma solução. A vulnerabilidade também joga luz sobre uma tensão arquitetônica recorrente: assistentes de IA que misturam sua própria interface com dados de terceiros precisam de exibidores de conteúdo que tratem toda informação externa como potencialmente hostil, e não como simples texto para exibição.