Pesquisadores da PromptArmor alertaram para uma campanha que explora um ataque de “clique zero” direcionado a ferramentas de inteligência artificial, capaz de vazar dados sem que a vítima precise clicar em links maliciosos — basta apenas que a pré-visualização do link seja exibida na conversa.
Segundo a empresa de segurança, os invasores realizam injeções de prompt em IAs integradas a aplicativos de mensagens, fazendo o sistema fingir ser o próprio usuário. A mensagem contém uma URL maliciosa cuja visualização já é suficiente para iniciar a exfiltração de dados, sem exigir qualquer interação posterior da pessoa atingida.
O truque se aproveita de um recurso legítimo em plataformas de bate-papo — citadas no relatório como exemplos, Telegram e Slack — que busca metadados de links (título, descrição e miniatura) para mostrar uma prévia no chat em vez da URL completa. A partir dessa pré-visualização gerada por um prompt comprometido, o atacante consegue induzir requisições automáticas que expõem informações sensíveis do dispositivo ou da sessão da vítima.
Especialistas destacam que essa mudança de tática torna o ataque muito mais rápido e eficaz. Enquanto injecções de prompt tradicionais frequentemente dependem do usuário clicar em um link e inserir credenciais em páginas controladas pelos criminosos, a variante por pré-visualização executa a cadeia de contaminação automaticamente, em questão de segundos. Conforme explicado pela PromptArmor, a URL comprometida pode capturar dados confidenciais — incluindo chaves de API e credenciais — por meio das buscas automáticas desencadeadas quando a pré-visualização é gerada.
A campanha evidencia um risco crescente associado à integração entre IAs e plataformas de comunicação: mecanismos pensados para melhorar a experiência do usuário podem ser explorados para extrair dados sem qualquer ação explícita da vítima, tornando a detecção e mitigação mais desafiadoras. A PromptArmor foi quem reportou a técnica às autoridades e à comunidade de segurança.
