Em 21 de outubro de 2025, a OpenAI lançou ao público a primeira versão de seu navegador, o ChatGPT Atlas, que atualmente está disponível para macOS, embora haja planos de expansão para outras plataformas, como Windows, Android e iOS.

A ideia do navegador, como o próprio nome sugere, é transformar a navegação em uma experiência diretamente integrada ao ChatGPT, eliminando a necessidade de copiar e colar conteúdo para que a inteligência artificial generativa (GenAI) possa atuar sobre ele.     

A proposta, focada na praticidade e em instalações muito interessantes, pode esconder riscos de segurança para os usuários. A seguir, apresento uma compilação dos principais riscos e as consequências que eles podem ter para os usuários.

Riscos associados ao uso do ChatGPT Atlas

#Injeção de prompt

A injeção de prompt é um dos principais riscos em navegadores integrados à GenAI. O conteúdo malicioso pode estar oculto na página visitada, em URLs ou até mesmo em imagens manipuladas. Quando o navegador interpreta essas informações ocultas, seu comportamento pode ser alterado: desde o fornecimento de dados confidenciais a invasores, passando pela exibição de conteúdo diferente do esperado, até a modificação de suas configurações para serem mais permissivas em estágios posteriores do ataque.

#Filtragem de dados confidenciais

Entre as funções do navegador está o preenchimento automático de formulários, o que significa que, se uma página com fins criminosos solicitar dados comumente usados nesses contextos, como nome completo, número de telefone, endereço, entre outros, o navegador poderá fornecê-los sem validação adicional.

#Acesso excessivo a dados pessoais

Como o navegador é nativamente integrado a uma GenAI, ele pode acessar e processar o conteúdo de todas as guias abertas ou que já estiveram abertas. Por exemplo, se você mantiver abertas suas contas de e-mail em diferentes provedores, uma guia com sua agenda para não perder compromissos ou seus contatos, o navegador poderá usar essas informações para executar ações nessas ferramentas. Isso pode ser muito útil em um uso legítimo, mas, se explorado de forma criminosa, pode resultar na exposição de dados confidenciais a cibercriminosos.

As integrações podem envolver riscos à privacidade que muitos usuários não preveem, incluindo o acesso a todos os arquivos presentes no dispositivo. Na verdade, é possível enviar qualquer arquivo como anexo, e o navegador pode processá-lo sem aplicar controles adicionais, aumentando a exposição de informações confidenciais.

#Memória do navegador

As sessões ativas do navegador representam outro risco importante. Como o navegador pode interagir com serviços autenticados, essas sessões podem permanecer abertas indefinidamente. Se ocorrer uma interação mal-intencionada e o navegador tiver várias sessões ativas, os invasores poderão explorá-las para executar ações não autorizadas, incluindo ataques de sequestro de sessão.

#Vulnerabilidade a ataques de phishing

Os ataques de phishing representam uma ameaça significativa para os navegadores que processam o conteúdo antes de exibi-lo na tela. Embora existam alguns indicadores para diferenciar um site legítimo de um fraudulento, ainda não foram identificados mecanismos eficientes para fazer isso. Essa falta de detecção facilita a interação com conteúdo malicioso, o que beneficia os criminosos cibernéticos.

#Omnibox vulnerável a comandos maliciosos 

A Omnibox é a funcionalidade da barra de endereços que permite inserir URLs e termos de pesquisa, fornecendo resultados relevantes em ambos os casos. No contexto do ChatGPT Atlas, existe o risco de os usuários serem induzidos a clicar em comandos disfarçados de URLs, que podem alterar o comportamento do navegador ou redirecionar as vítimas para sites controlados por cibercriminosos.

#Falta de transparência na execução das ações

Esse ponto resume a maioria das preocupações de segurança relacionadas a esse navegador. Como ele conta com recursos automatizados baseados em IA, muitas das ações que executa não são totalmente visíveis ou controláveis pelo usuário. Isso inclui desde interações com conteúdo malicioso em páginas da web até o processamento de informações pessoais ou confidenciais, que podem inclusive ser usadas como parte de modelos de treinamento ou em respostas futuras para outros usuários.

O ideal é que esse navegador ofereça configurações explícitas para cada funcionalidade que possa comprometer a segurança ou a privacidade do usuário

#Falta de padrões de divulgação de vulnerabilidades

Não existe um protocolo claro para relatar, rastrear e corrigir falhas de segurança. Como qualquer outro tipo de software, os navegadores integrados à IA podem ter vulnerabilidades que afetam sua operação. Isso faz com que seja necessário que a própria OpenAI tenha maneiras de divulgar essas vulnerabilidades para trabalhar em uma correção e atualização de software.

Vale lembrar que muitas vulnerabilidades permitem que os cibercriminosos controlem dispositivos sem precisar interagir com suas vítimas.

#Injeção da área de transferência 

A manipulação da área de transferência é usada por vários tipos de malware e geralmente tem o objetivo de roubar informações. Trojans costumam explorar esse recurso ao atacar carteiras de criptomoedas: quando a vítima copia o endereço da carteira para a qual deseja enviar fundos, o malware o substitui pelo endereço dos criminosos. Assim, quando a vítima cola os dados e conclui a transferência, os fundos acabam sendo enviados para a carteira controlada pelos cibercriminosos. 

#Injeção de reconhecimento óptico de caracteres (OCR)

A interpretação de texto oculto em imagens como comandos válidos representa um risco emergente. Embora a capacidade de reconhecer conteúdo em imagens não seja nova, o problema surge quando essa função é usada para fins maliciosos. É possível incorporar instruções ocultas em imagens, invisíveis ao olho humano, que o navegador interpreta como comandos válidos. Isso pode modificar seu comportamento de forma semelhante a uma injeção de prompt.

Mitigações implementadas pela OpenAI

Ciente dos riscos associados ao novo produto, a OpenAI tomou medidas para melhorar a segurança do navegador Atlas:

#Limitações do agente

O Atlas não pode executar código, baixar arquivos, instalar extensões, acessar outros aplicativos ou ler informações do dispositivo local. Ele também não tem acesso a senhas nem a dados de preenchimento automático. O agente não pode acessar senhas salvas, informações de autofill ou memórias internas que estejam fora de seu escopo.     

#Controle do histórico e da navegação

O usuário pode limpar o histórico, as memórias e definir quais sites são visíveis para o ChatGPT, incluindo a opção de bloquear a IA com um único clique.

#Memória opcional

Para que o Atlas se lembre das páginas visitadas, o usuário deve ativar o recurso (desativado por padrão).

#Privacidade por padrão

As interações não serão usadas para treinamento de modelos, a menos que explicitamente autorizadas pelo usuário.

#Proteção para sites críticos

As ações em sites confidenciais (por exemplo, bancos) exigem aprovação manual do usuário.

#Camada da Web da OpenAI (OWL)

O Atlas é baseado no Chromium, mas a IA é executada em processos separados para reduzir o risco.

Dicas de segurança

Embora essas medidas reduzam os riscos, é importante adotar boas práticas:

  • Não forneça dados para treinamento: evite enviar informações confidenciais que possam aparecer em interações futuras.
  • Cumpra as leis de proteção de dados: especialmente em ambientes corporativos (LGPD, GDPR).
  • Use o agente com cautela: lembre-se de que ele toma decisões por você; nem todas elas serão seguras.
  • Evite sites não confiáveis: você reduzirá os riscos de injeção de prompts e outros ataques.
  • Use ambientes virtuais sempre que possível: isso facilita a recuperação de falhas ou ataques.
  • Treine os usuários: o treinamento em segurança digital é fundamental para minimizar os riscos.

A cibersegurança deve evoluir no mesmo ritmo

A integração com a GenAI é uma tendência inevitável, mas a segurança deve evoluir no mesmo ritmo. Será responsabilidade dos profissionais e usuários configurar e usar conscientemente essas ferramentas para reduzir os riscos.