Pesquisadores de segurança identificaram uma nova técnica de ataque chamada “Man in the Prompt”, que permite que extensões de navegador maliciosas manipulem ou espionem interações com ferramentas de IA generativa como ChatGPT, Google Gemini e outras. O ataque explora o fato de que os campos de prompt dessas aplicações fazem parte da estrutura da página web e podem ser acessados por extensões com permissões mínimas.
Essas extensões podem ler ou modificar os comandos digitados, injetar instruções ocultas, extrair dados sensíveis das respostas ou induzir o modelo de IA a executar ações não autorizadas. A ameaça é ainda mais grave porque muitas dessas ferramentas são usadas para processar informações corporativas confidenciais. Foram demonstrados casos práticos nos quais extensões conseguiram alterar prompts, capturar respostas da IA e ocultar sinais de atividade para evitar a detecção por parte dos usuários.
Em uma dessas situações, mesmo com a interface da IA fechada, os dados armazenados em contas de e-mail, arquivos e contatos ainda puderam ser acessados e exfiltrados. O ataque mostra como uma única extensão comprometida pode criar um canal discreto para o roubo de dados em organizações que adotam IAs no navegador sem medidas rígidas de controle. Como esse tipo de ataque ocorre no nível do navegador, ferramentas tradicionais como DLPs e gateways de segurança não conseguem detectá-lo. Medidas como bloquear URLs também se mostram ineficazes em ambientes internos com IAs corporativas. Para mitigar o risco, os especialistas recomendam a inspeção em tempo real das interações dentro do navegador, bloqueio de extensões com base em comportamento e monitoramento contínuo de sinais de manipulação de prompts.
