Convites de calendário e a integração do Gmail do ChatGPT: o padrão de ataque
Em 12 de setembro de 2025, o pesquisador de segurança Eito Miyamura demonstrou um exploit que, ao que tudo indica, é o primeiro, mas definitivamente não será o último do seu tipo: um Google Calendar malicioso injeta prompts no ChatGPT que, quando conectado ao Gmail, vaza e-mails privados em resposta. Sim, há pré-requisitos específicos — é preciso estabelecer a conexão entre a IA e o Gmail e usar o Google Calendar de forma tão intensiva que um convite desconhecido consiga entrar nele — mas padrões assim tendem a evoluir de modo a ampliar o alcance do ataque, então é melhor saber exatamente o que está acontecendo e como você pode se proteger. Continue lendo para conferir ambos os relatos.
Convites maliciosos do Google Calendar: o que há por trás
A arma aqui se chama “injeções indiretas de prompt”. Elas exploram o zelo da IA inserindo instruções maliciosas nos dados externos processados pelo modelo, incluindo sites, e-mails, convites de calendário ou documentos. No caso dos convites do Google Calendar e da integração do ChatGPT com o Gmail, a IA recebeu o convite, como era de se esperar, e foi induzida a revelar e-mails (uma vez conectada, ela tem acesso a muita coisa) por comandos ocultos nesses convites.
O termo “injeção de prompt” foi cunhado por Simon Willison em 2022; o pesquisador descreveu como agentes mal-intencionados poderiam dar instruções a IAs de forma semelhante às injeções de SQL. As “injeções indiretas de prompt”, como o nome sugere, mantêm esses comandos escondidos sob uma camada de material com aparência inofensiva. O próprio termo é creditado a Kai Greshake e à equipe da NVIDIA, que formalizaram o padrão de ataque e descreveram estratégias de defesa contra ele em 2025.
Como se proteger de ataques que envolvem injeções indiretas de prompt?
Não adianta tentar se abster completamente do uso de inteligência artificial: hoje você pode até conseguir o isolamento desejado, mas amanhã os grandes modelos de linguagem estarão integrados aos serviços do lado do provedor e simplesmente não haverá como desconectá-los das suas contas. Além disso, você nem mesmo saberá que a conexão existe. Então, o que você pode fazer para proteger seus ativos?
- Vigilância. Antes de tudo, é preciso manter-se vigilante e nunca deixar nada suspeito entrar no seu calendário ou em qualquer outro sistema que dependa de IA para este ou aquele propósito.
- Ordem. Mantenha as coisas organizadas. Se você não precisa realmente do ChatGPT para ajudar com e-mails, desative-o. Você pode ter testado o recurso, até ter gostado, mas se não houver um caso de uso real para ele — não hesite e não deixe para depois.
- Limites. Mesmo hoje, integrações de IA podem ser personalizadas para lhe dar mais controle sobre com o que o modelo trabalha e em que condições ele pode acessar os dados. Considere desativar todas as rotinas automáticas. Sim, isso adicionará aprovações manuais ao seu fluxo, mas é mais seguro assim.
- Salvaguardas existentes. No Google Calendar, por exemplo, você pode configurar para permitir convites apenas de remetentes conhecidos. Isso é uma salvaguarda; use-a sempre que possível.
A OpenAI reconheceu o problema e sugeriu desativar os conectores. A empresa está trabalhando em defesas contra esse tipo de ataque, mas trata-se de uma corrida de espada e escudo, então faz sentido obter uma suíte de segurança voltada para o futuro. Encontre uma aqui:
