Convites maliciosos do Google Agenda podem fazer o ChatGPT vazar seus emails

Uma pesquisadora de segurança relatou como um convite falso do Google Agenda pode roubar conteúdo privado de e-mail do ChatGPT quando os conectores do Gmail estão ativados.

Eito Miyamura explicou o método de ataque em X, mostrando como os hackers usam convites de calendário com instruções ocultas, em seguida, esperam pela vítima para pedir ao ChatGPT realizar uma tarefa, conforme relatado inicialmente por Tom’s Hardware.

O atacante incorpora comandos maliciosos no evento, que o ChatGPT executa automaticamente seguindo as instruções maliciosas. “Tudo o que você precisa? O endereço de email da vítima”, afirma Miyamura.

Conseguimos que o ChatGPT vazasse seus dados privados de e-mail 💀💀

Tudo o que você precisa? O endereço de e-mail da vítima. ⛓️💥🚩📧

Na quarta-feira, @OpenAI adicionou suporte total para ferramentas MCP (Model Context Protocol) no ChatGPT. Permitindo que o ChatGPT se conecte e leia seu Gmail, Calendário, Sharepoint, Notion,… pic.twitter.com/E5VuhZp2u2

— Eito Miyamura | 🇯🇵🇬🇧 (@Eito_Miyamura) 12 de setembro de 2025

O Tom’s Hardware observa que, em meados de agosto, a OpenAI adicionou conectores nativos do Gmail, Google Agenda e Google Contatos ao ChatGPT. Após conceder permissão, o assistente tem acesso automático aos dados da conta Google dos usuários. Isso significa que até uma pergunta casual como “O que tem na minha agenda hoje?” pode acessar seu calendário.

O centro de ajuda da OpenAI explica que esses conectores ativam o acesso automático aos dados apenas quando habilitados, embora você possa desativá-lo nas configurações para selecionar as fontes manualmente.

Tom’s Hardware explica que o Modelo de Protocolo de Contexto permite que os desenvolvedores criem conectores personalizados, no entanto, a OpenAI não monitora essas conexões. Miyamura destaca esse ponto, pois esse ataque depende de um novo ecossistema geral.

O método de ataque, chamado de injeção indireta de prompt, oculta comandos prejudiciais dentro de pontos de acesso de dados autorizados, que neste caso são textos incorporados em eventos de calendário. Ataques semelhantes foram relatados em agosto, mostrando como convites comprometidos poderiam direcionar o Gemini AI do Google e até mesmo controlar dispositivos de casa inteligente.

O sistema permanece inativo a menos que os serviços do Gmail e do Calendar sejam vinculados dentro do ChatGPT. Usuários que desejam minimizar riscos devem desconectar suas fontes e desativar o acesso automático aos dados.

Especialistas aconselham alterar a configuração “Adicionar convites automaticamente” do Google Calendar, para que apenas convites de contatos conhecidos apareçam e ocultar eventos recusados.