‹ ARQUIVO NB-L062 · .log · 2026·07

Não precisaram da tua palavra-passe: o chatbot entregava as tuas conversas a um estranho

Não precisaram da tua palavra-passe: o chatbot entregava as tuas conversas a um estranho
NB-L062 .log

Quatro falhas numa única plataforma deixavam alguém ler, em silêncio, as conversas privadas que outras pessoas tinham com assistentes de IA. A plataforma chama-se Dify, é de código aberto, e está por baixo de mais de um milhão de aplicações de IA em mais de cinquenta setores, de empresas como a Volvo, a Maersk ou a Panasonic. Os investigadores da Zafran Security, que descobriram e batizaram o conjunto de «DifyTap», mostraram que um atacante podia montar uma escuta sobre as conversas de outros clientes: cada pergunta escrita e cada resposta do modelo, copiadas para fora sem que ninguém do outro lado percebesse.

Quando falas com um chatbot, assumes que a conversa fica entre ti e ele. Esta investigação mostra que nem sempre foi verdade. E há uma segunda suposição, ainda mais frágil: a de que o assistente com o logótipo de uma marca foi construído por essa marca. Quase nunca foi. A maior parte dos chatbots que encontras corre em plataformas partilhadas como esta, onde muitos clientes vivem no mesmo sistema. A confidencialidade da tua conversa não é uma lei da natureza; é uma promessa de quem montou a canalização por baixo. E foi exatamente essa canalização que falhou.

Como funciona a escuta

A peça central destas falhas (uma falha catalogada como CVE-2026-41947, classificada como crítica) não obrigava a arrombar nada. O Dify traz uma função legítima que os programadores usam para vigiar os seus próprios chatbots: envia uma cópia de cada conversa para um serviço de monitorização externo, escolhido por quem construiu a aplicação. O problema é que o sistema nunca confirmava se quem mudava essa definição era mesmo o dono. Sabendo o identificador público da aplicação, que o próprio chatbot entrega ao navegador de quem o usa, o atacante trocava o destino dessas cópias para um servidor seu. A partir daí, cada pergunta e cada resposta passavam a seguir também para ele. Não é invadir a aplicação: é reprogramar o gravador que ela já tinha para copiar também para a sala ao lado. E para chegar aqui bastava uma conta comum, do tipo que qualquer pessoa cria ao registar-se.

Não foi a única. Ao todo eram quatro, e o padrão repetia-se: o sistema confiava em quem não devia. Três atravessavam a fronteira entre clientes, deixando um chegar aos dados de outro; duas nem sequer exigiam uma conta. A de risco mais alto (a CVE-2026-41948) deixava um estranho, sem sequer ter conta, alcançar os sistemas internos do Dify através de um endereço de internet manipulado. Outra permitia ler os primeiros três mil caracteres de qualquer documento carregado na plataforma, incluindo os de outras empresas; outra ainda ia buscar ficheiros enviados por outros utilizadores. E havia um pormenor revelador: o leitor de PDF da plataforma usava uma peça do motor do Chromium com uma falha de memória conhecida e corrigida desde junho de 2024 (a CVE-2024-5846), esquecida ali durante cerca de ano e meio, até dezembro de 2025.

Para uma empresa portuguesa que ponha um chatbot a atender clientes nesta plataforma, isto não é um detalhe técnico distante. Aquelas conversas são dados pessoais. Uma fuga entre clientes é uma violação de dados, comunicável à Comissão Nacional de Proteção de Dados no prazo de setenta e duas horas, e a responsabilidade fica com quem oferece o serviço, não com a plataforma que o alberga. Alugar a canalização não transfere a culpa.

Porque isto se repete

Há um padrão por trás do episódio, e ele é maior do que o Dify. A Zafran diz não haver sinais de que as falhas tenham chegado a ser exploradas, e a plataforma já as corrigiu (a versão 1.15.0, de 25 de junho, tapa as quatro). O que fica é o padrão: pregámos IA a tudo mais depressa do que asseguramos a canalização por onde os dados passam. A falha do leitor de PDF esquecida durante ano e meio conta a história toda, a camada de IA é nova e reluzente, os canos por baixo são antigos e ninguém andava a olhar para eles. É a diferença entre trancar a porta da frente e deixar a cave aberta.

Como te proteges

A defesa começa em como usas estas ferramentas:

  • Trata qualquer chatbot como um espaço público: não escrevas ali o que não dirias em voz alta a um balcão, como números de cartão, palavras-passe, dados de saúde sensíveis ou segredos da empresa.
  • Se és tu que ofereces um produto com IA, atualiza o Dify para a versão 1.15.0 (ou o equivalente na plataforma que usas) e parte do princípio de que um sistema partilhado é território de terceiros.
  • Pergunta a quem te fornece o assistente onde ficam guardadas as conversas e durante quanto tempo.
  • Guarda o mínimo: quanto menos histórico é retido, menos há para fugir.

A privacidade que sentes numa conversa com a IA é apenas tão sólida quanto a canalização por baixo dela. E, neste caso, a canalização foi montada com pressa e vigiada com folga.

Fontes: Zafran Security, The Hacker News.

#StaySafe
🙏🖖

DOMÍNIO
BRI assistente

Quer saber sobre um projeto, um serviço ou uma notícia recente? Pergunte. Conheço todo o conteúdo deste site.