Pesquisador expõe falha crítica de SSRF em GPTs personalizados do ChatGPT – risco de exploração em larga escala
Um pesquisador de segurança descobriu uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) nos modelos personalizados do ChatGPT. A falha permitiria a invasão de sistemas internos através de prompts maliciosos.
O ataque explora a capacidade dos GPTs personalizados de acessar recursos externos – funcionalidade que virou moda entre empresas desesperadas por um 'diferencial competitivo' em IA.
Correção já está sendo implementada pela OpenAI, mas o episódio revela os riscos de colocar ferramentas poderosas nas mãos de amadores com budget de sobra e zero expertise em segurança.
A vulnerabilidade SSRF pode tornar os GPTs personalizados inseguros.
Conforme explicado por Jenkins em sua publicação no Medium no início desta semana, a falsificação de requisição do lado do servidor (Server-Side Request Forgery - SRF) é uma vulnerabilidade da web que engana aplicativos, fazendo com que eles enviem requisições para destinos não intencionais. Se o aplicativo não validar corretamente as URLs fornecidas pelo usuário, os atacantes podem usar os privilégios de acesso do servidor para alcançar redes internas ou serviços de metadados na nuvem.
Gráfico SSRF básico de leitura completa. Fonte: Blog SirLeeroyJenkins no Medium.O SSRF era tão prevalente que entrou na lista OWASP Top 10 em 2021 e agora expandiu seu potencial de dano porque configurações padrão inseguras em ambientes de nuvem podem expor sistemas críticos.
Jenkins explicou que existem dois tipos principais de SSRF: leitura completa e cega. O SSRF de leitura completa retorna dados do serviço alvo diretamente para o atacante. Já o SSRF cego não revela a resposta, mas ainda permite a interação com serviços internos, por exemplo, por meio de varredura de portas baseada em tempo.
Ele testou a vulnerabilidade apontando a URL da API para o Serviço de Metadados de Instância (IMDS) do Azure, que armazena credenciais confidenciais da nuvem dent O acesso a esse serviço normalmente requer o Metadata: True , então ele ficou alarmado quando suas tentativas iniciais não conseguiram fornecer o cabeçalho conforme solicitado.
O recurso GPT personalizado inicialmente bloqueou a exploração porque impunha URLs HTTPS, enquanto o Azure IMDS opera em HTTP. Usando um redirecionamento 302 de um endpoint HTTPS externo para a URL de metadados interna, o servidor seguiu o redirecionamento. No entanto, o Azure bloqueou o acesso sem o cabeçalho necessário.
“Como o servidor seguiu redirecionamentos 302, ele retornou a resposta de sua URL de metadados interna. Missão cumprida, certo? Errado. A resposta do serviço de metadados indicou que um cabeçalho obrigatório não estava sendo definido”, observou SirLeeroyJenkins.
Após continuar a analisar as respostas, descobriu-se que o recurso permitia chaves de API personalizadas com nomes arbitrários. Ele tentou nomear uma chave como "Metadata" com o valor "true" , onde o cabeçalho necessário foi inserido para conceder ao GPT acesso ao serviço de metadados.
Jenkins prontamente relatou a vulnerabilidade ao programa Bugcrowd da OpenAI, e o problema foi classificado como de alta gravidade e, em seguida, corrigido.
Ele também mencionou que a Open Security já havia utilizado esse tipo de cadeia de ataque SSRF para explorar uma vulnerabilidade na geração de faturas de uma grande empresa financeira global, durante uma auditoria de segurança.
OpenAI lança GPT-5.1 após turbulência com a versão 5.0
Em outras notícias relacionadas ao ChatGPT, a OpenAI anunciou o lançamento do GPT-5.1, destacando diversas atualizações em relação à versão 5.0 para aprimorar o seguimento de instruções e o raciocínio adaptativo.
“O GPT-5.1 foi lançado! É uma ótima atualização. Gostei particularmente das melhorias no seguimento de instruções e no pensamento adaptativo. As melhorias na inteligência e no estilo também são boas”, escreveu o CEO Sam Altman no X na noite de quarta-feira.
O jornalista de tecnologia Mehul Gupta testou o GPT-5.1 em comparação com seu antecessor, observando que o GPT-5 , embora refinado e útil, às vezes complica demais tarefas simples. A versão instantânea do GPT-5.1 supostamente apresentava uma compreensão aprimorada e pausas adaptativas sutis que proporcionavam respostas mais "contextualizadas".
Em um dos testes, Gupta pediu que ambos os modelos respondessem com seis palavras. O GPT-5 tentou explicar demais, enquanto o GPT-5.1 forneceu uma resposta concisa e correta.
Altman também anunciou a adição de 7 novas predefinições, incluindo Padrão, Amigável, Eficiente, Profissional, Sincero e Peculiar, mas os usuários podem optar por "ajustá-las por conta própria".
Se você está lendo isso, já está na frente. Acompanhe nossa newsletter .
