OpenAI implementa verificação de URLs para bloquear roubo de dados por agentes de IA

A OpenAI publicou um post técnico em seu blog em 28 de janeiro de 2026, descrevendo uma nova camada de segurança projetada para impedir que invasores enganem agentes de IA para vazar silenciosamente dados confidenciais de usuários por meio de URLs maliciosas. A proteção surge à medida que pesquisadores continuam descobrindo vulnerabilidades que exploram a crescente autonomia de sistemas de IA navegando na web em nome dos usuários.

A abordagem da empresa se concentra em um “índice web independente”—um rastreador que cataloga URLs publicamente acessíveis sem qualquer acesso a conversas de usuários ou dados pessoais. Quando um agente de IA tenta acessar automaticamente uma URL, o sistema faz uma verificação cruzada com esse índice. Se o endereço foi previamente observado como conteúdo público, o agente prossegue; caso contrário, os usuários recebem um alerta de que o link pode conter informações de sua conversa e precisam aprovar explicitamente antes de abri-lo.
​

Por que a Verificação de URLs é Importante

A ameaça subjacente é enganosamente simples. Quando um modelo carrega uma URL, esse endereço é registrado pelo servidor de destino. Invasores usando técnicas de injeção de prompt podem incorporar instruções em páginas web, e-mails ou documentos que manipulam um agente de IA para solicitar uma URL contendo informações sensíveis—como endereços de e-mail ou títulos de documentos—codificadas como parâmetros. O usuário pode nunca perceber, já que a solicitação pode acontecer de forma invisível através da renderização de imagens ou pré-visualizações de links.​

A OpenAI observou explicitamente que as listas de permissão de domínios tradicionais oferecem proteção incompleta. Muitos sites confiáveis suportam redirecionamentos que podem direcionar o tráfego através de domínios legítimos para destinos controlados por invasores. Listas de permissão rígidas também criam atrito que treina os usuários a clicar em avisos sem examiná-los com cuidado.​

Ataques Continuam Evoluindo

O anúncio segue uma onda de vulnerabilidades divulgadas. Pesquisadores de segurança da Radware publicaram descobertas em 26 de janeiro de 2026, descrevendo um ataque apelidado de “ZombieAgent” que contorna a restrição anterior da OpenAI sobre modificação dinâmica de URLs. Ao fornecer ao ChatGPT URLs pré-construídas—uma para cada caractere—os atacantes podem exfiltrar dados uma letra por vez sem acionar filtros projetados para bloquear manipulação de parâmetros.

A Microsoft enfrentou desafios semelhantes. Uma vulnerabilidade chamada “Reprompt”, divulgada em janeiro de 2026, permitiu a exfiltração de dados do Copilot com um único clique, incorporando instruções maliciosas em um parâmetro de URL e usando uma técnica de “requisição dupla” para contornar as proteções contra vazamento.

Defesa em Profundidade, Não uma Solução Mágica

A OpenAI enfatizou que a verificação de URL é uma camada em uma estratégia mais ampla que inclui mitigações em nível de modelo, monitoramento e testes de invasão contínuos. O sistema tem como alvo específico “vazamentos silenciosos” onde dados escapam através da própria URL, mas não garante que o conteúdo da página seja seguro ou que um site não tentará fazer engenharia social.
​

“Monitoramos continuamente técnicas de evasão e refinamos essas proteções ao longo do tempo”, afirmou a empresa, “reconhecendo que à medida que os agentes se tornam mais capazes, os adversários continuarão se adaptando.”
​

O lançamento ressalta uma tensão no centro do desenvolvimento de IA agêntica: as mesmas capacidades que tornam a navegação autônoma útil—buscar artigos, carregar imagens, visualizar links—também criam vetores de exfiltração que as equipes de segurança ainda estão aprendendo a bloquear.