Estudo importante da USENIX descobre que extensões de navegador de IA estão roubando seus dados

Um estudo do USENIX Security Symposium publicado em agosto de 2025 revelou que extensões populares de navegador de IA coletam dados confidenciais do usuário, incluindo registros médicos, informações bancárias, números de seguro social e atividades de mídia social. Pesquisadores da University College London, da Mediterranea University of Reggio Calabria e da University of California, Davis conduziram a análise. As descobertas destacaram os riscos de privacidade em navegadores assistidos por IA que ganharam força desde sua introdução em 2025. Navegadores assistidos por IA, como Atlas da OpenAI e Comet da Perplexity, oferecem recursos como resumos de sites, pesquisas refinadas, chatbots e execução autônoma de tarefas. Essas ferramentas desafiam os navegadores estabelecidos, incluindo o Google Chrome, que detém 70% do mercado global, Safari, Edge e Firefox. Outros participantes incluem integrações Opera Neon, Dai e ChatGPT. A McKinsey & Company prevê que a indústria de navegadores gerará US$ 750 bilhões em receitas até 2028. Os navegadores de IA funcionam por meio de chatbots persistentes que analisam páginas da web abertas e modos de agente que lidam com tarefas como preenchimento de formulários, compras na Amazon ou edição de ensaios. Eles processam o conteúdo da página da web junto com solicitações anteriores, históricos de pesquisa e interações sem instruções do usuário. As extensões do navegador servem como interfaces para modelos como ChatGPT da OpenAI, Gemini do Google e Llama da Meta. As extensões injetam scripts de conteúdo em páginas da Web por meio de service workers em segundo plano, permitindo a coleta autônoma de dados. Isso difere dos chatbots baseados na web, que processam apenas dados de entrada do usuário. O estudo USENIX concentrou-se em extensões de navegador, em vez de navegadores completos, como líderes como Atlas e Comet lançaram após sua conclusão. As extensões examinadas incluíram ChatGPT para Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind e Copilot da Microsoft. Os pesquisadores simularam a navegação em contextos públicos e privados: lendo notícias, assistindo a vídeos no YouTube, vendo pornografia e preenchendo formulários fiscais. As extensões capturavam imagens e textos, como diagnósticos médicos, números de Seguro Social e preferências de aplicativos de namoro. Merlin transmitiu dados bancários e registros de saúde. Merlin e Sider AI registraram atividades mesmo em modos de navegação privada. A análise do tráfego após a descriptografia mostrou transmissões para servidores da empresa e rastreadores de terceiros. Sider e TinaMind compartilharam solicitações de usuários e endereços IP com o Google Analytics, facilitando o rastreamento entre sites. O Copilot da Microsoft reteve históricos de bate-papo entre sessões no armazenamento do navegador. Google, Copilot, Monica, ChatGPT e Sider traçaram perfis de usuários por idade, sexo, renda e interesses para respostas personalizadas em várias sessões. O Perplexity emergiu como a ferramenta que mais respeita a privacidade entre as ferramentas testadas. Não se lembra de interações anteriores e seus servidores evitam dados pessoais de espaços privados. O Perplexity ainda processa títulos de páginas e localização de usuários. OpenAI lançou Atlas após o estudo. A OpenAI afirma que o Atlas analisa seletivamente o conteúdo, mas processa todas as imagens e textos do site. Recursos de memória opcionais armazenam elementos do histórico de navegação para personalizar experiências. Os usuários não podem especificar quais aspectos do site o navegador recupera. A página de ajuda da OpenAI aconselha a remoção de páginas da janela de bate-papo, o bloqueio de URLs confidenciais ou a exclusão do histórico para limitar a exposição. Atlas inclui duas configurações relacionadas a dados. “Melhorar o modelo para todos” é ativado por padrão e permite que o OpenAI use dados de páginas da web de consultas de chatbot para treinamento ChatGPT. “Incluir navegação na web” incorpora o histórico completo de navegação no treinamento. OpenAI anonimiza os dados antes do uso no treinamento, embora as especificações sobre limites permaneçam limitadas. Os usuários podem desativar ambas as configurações. O Comet da Perplexity armazena o histórico de pesquisa localmente nos dispositivos do usuário, não nos servidores. Ele acessa URLs, textos, imagens, consultas de pesquisa, histórico de downloads e cookies para funções principais. O modo agente e a ferramenta Memória do Comet analisam o histórico e as preferências de pesquisa. O navegador solicita acesso à conta do Google, abrangendo e-mails, contatos, configurações e calendários, com opção para integrações de terceiros. A página explicativa do Perplexity detalha as configurações de dados. Os especialistas recomendam restringir a barra lateral do chatbot a páginas não confidenciais. As empresas de IA muitas vezes reaproveitam os dados armazenados do usuário para treinamento de grandes modelos de linguagem sem consentimento explícito. Esta prática estende-se para além da IA, abrangendo as redes sociais, os retalhistas, os motores de busca e os serviços de mensagens através de acordos opacos e opt-ins predefinidos. Os navegadores acessam informações mais confidenciais do que outras plataformas. A OpenAI atendeu a 105 solicitações de dados do governo dos EUA no primeiro semestre de 2025. As vulnerabilidades de segurança agravam os problemas de privacidade. Os ataques de injeção imediata permitem que hackers incorporem conteúdo malicioso nos back-ends do navegador, indistinguíveis de entradas legítimas. Eles permitem phishing e roubo de credenciais, dados bancários e dados pessoais. Um estudo da Brave em outubro de 2025 descreveu as injeções imediatas como um desafio sistêmico para navegadores de IA, aumentando os riscos de phishing. A LayerX Security relatou que os usuários do Perplexity Comet enfrentam uma vulnerabilidade 85% maior a tais ataques em comparação com os usuários do Chrome. O diretor de informações da OpenAI, Dane Stuckey, afirmou no X que a injeção imediata “continua sendo um problema de segurança de fronteira e não resolvido”. O blog da Perplexity apelou às empresas de IA para “repensarem a segurança desde o início”. Os pesquisadores da USENIX testaram extensões em cenários controlados para medir a captura de dados. Na navegação de notícias, as extensões registravam textos e imagens de artigos. As sessões do YouTube resultaram em capturas de miniaturas de vídeos e coleta de comentários. Sites de pornografia levaram à gravação de imagens e preferências. Simulações de formulários fiscais expuseram números de Seguro Social e detalhes financeiros. O tráfego descriptografado do Merlin mostrou transmissão em texto simples de registros de saúde, incluindo diagnósticos como notas de gerenciamento de diabetes e logins bancários com números de contas. Os pacotes da Sider AI incluíam endereços IP emparelhados com prompts contendo identificadores pessoais. A TinaMind encaminhou dados semelhantes para endpoints do Google Analytics. O armazenamento local do Copilot reteve registros de conversas, incluindo consultas sobre planejamento financeiro vinculadas a detalhes de receitas de sites anteriores. Exemplos de criação de perfil incluíram a Sider inferindo o gênero do usuário em sites de compras e a idade a partir de preferências de notícias, aplicando-os a recomendações semelhantes a anúncios. As limitações do Perplexity impediram a memória de sessão cruzada, bloqueando o perfil. Os logs do servidor continham apenas metadados como títulos de páginas (“Login – Bank of America”) e coordenadas de geolocalização, sem cargas de conteúdo de guias privadas. A documentação do Atlas confirma o OCR de imagem e a extração de texto em todas as guias. Os instantâneos de memória incluem listas de URLs e históricos resumidos, como “Carrinho da Amazon visitado com produtos eletrônicos”. Os opt-ins de treinamento processam dados por meio de pipelines de anonimato, hash de IPs e sessões de agregação, de acordo com as divulgações da OpenAI. O armazenamento local do Comet usa IndexedDB para históricos, sincronizando opcionalmente com contas Perplexity. A integração do Google requer escopos OAuth para acesso de leitura/gravação ao Gmail e ao Agenda. Ferramentas de terceiros como o Zapier se conectam por meio de chaves de API. As solicitações governamentais à OpenAI abrangeram intimações para investigações de ameaças e mandados de segurança nacional, abrangendo 6.000 contas de usuários. Os registros de conformidade detalham os tipos de dados: bate-papos, arquivos e rastreamentos de IP. A análise de outubro da Brave simulou 500 tentativas de injeção em navegadores. Os modelos de IA executaram 72% dos prompts maliciosos, contra 4% nos navegadores tradicionais. LayerX testou 1.200 usuários: as sessões do Comet renderam 2,1 explorações por hora, Chrome 1.1. A mecânica de injeção de extensão depende de service workers do Manifest V3, concedendo amplas permissões de guia. A autonomia decorre da correspondência de “content_scripts” com todos os URLs, canalizando árvores DOM para LLMs. O contexto do mercado mostra a participação de 70% do Chrome nos dados do StatCounter no final de 2025. Os navegadores de IA capturaram 12% combinados, por SimilarWeb. As integrações do Firefox AI aumentaram sua participação para 8%.

Source: Estudo importante da USENIX descobre que extensões de navegador de IA estão roubando seus dados

Estudo importante da USENIX descobre que extensões de navegador de IA estão roubando seus dados

Related Stories

Apple lança segundo iOS 27 beta com novo recurso Write with Siri

Galaxy S27 poderia usar o armazenamento UFS 5.0 mais rápido da Samsung

Apple aumentará os preços dos produtos em meio à escassez global de chips de memória

Dicas de vazamento do Samsung Galaxy S27 Pro na exibição de privacidade em nível de hardware