Investigadores de segurança da empresa SentinelOne revelaram que o ChatGPT estava a ser explorado para disseminar mensagens de spam em larga escala, através de uma ferramenta automatizada chamada AkiraBot.
O bot, ativo desde setembro de 2024, visava pequenas e médias empresas, explorando formulários de contacto e widgets de mensagens nos respetivos websites.
Escrito em Python, o AkiraBot utilizava a API da OpenAI para gerar mensagens personalizadas, ajustadas ao conteúdo de cada site, o que dificultava a sua deteção por sistemas de segurança.
Em janeiro de 2025, os investigadores identificaram um ficheiro com uma lista de mais de 420 mil sites-alvo, dos quais cerca de 80 mil terão sido comprometidos com sucesso.
O objetivo principal era a promoção de serviços de SEO de reputação duvidosa, associados a avaliações suspeitas em plataformas como o TrustPilot.
A ferramenta conseguia ainda contornar sistemas de proteção como captchas, através da simulação do comportamento de um navegador, recorrendo a scripts avançados.
Embora não tenha qualquer ligação ao grupo de ransomware com nome semelhante, o AkiraBot demonstra como ferramentas de inteligência artificial podem ser manipuladas para fins maliciosos, expondo novas vulnerabilidades no ecossistema digital.
A OpenAI confirmou o encerramento da conta fraudulenta utilizada nos ataques e desativou a chave API associada, garantindo que foram tomadas medidas adicionais para evitar novas violações semelhantes. A empresa reiterou que a utilização das suas tecnologias para envio de spam viola claramente as suas políticas de uso.
Especialistas em cibersegurança alertam que este tipo de exploração poderá tornar-se mais frequente e defendem a implementação de mecanismos de proteção mais robustos nos websites, com especial atenção à deteção de tráfego automatizado e ao controlo de acesso às APIs de IA.