Chefe da agência de cibersegurança dos EUA teria enviado documentos sensíveis do governo ao ChatGPT

 (dexerto.com)
2 pontos por GN⁺ 2026-01-30 | 1 comentários | Compartilhar no WhatsApp
  • Foi noticiado que o diretor interino da Cybersecurity and Infrastructure Security Agency (CISA) dos EUA enviou documentos de contratos governamentais em nível confidencial ao ChatGPT
  • Os documentos estavam marcados como “For Official Use Only” e desencadearam alertas internos de segurança e uma investigação federal
  • Ele também teria solicitado uma autorização de exceção especial para acessar o ChatGPT, que era bloqueado para outros funcionários do Departamento de Segurança Interna
  • Uma porta-voz da CISA afirmou que o uso foi “de curto prazo e limitado”, e que procedimentos de avaliação de danos foram conduzidos após o incidente
  • O caso ocorreu em meio à política de expansão do uso de IA pelo governo federal, destacando a importância da gestão de segurança de IA em órgãos públicos

Visão geral do incidente de upload no ChatGPT

  • A Politico informou que Madhu Gottumukkala, diretor interino da CISA, principal agência de cibersegurança do governo dos EUA, enviou documentos sensíveis do governo para a versão pública do ChatGPT
    • Os documentos enviados eram relacionados a contratos do governo e estavam marcados como “For Official Use Only
    • O incidente ocorreu no verão de 2025, e o sistema interno de monitoramento de cibersegurança o detectou no início de agosto
  • Após a detecção, foi imediatamente iniciada uma avaliação de danos (damage assessment) liderada pelo Department of Homeland Security (DHS) para investigar se houve exposição de informações
  • Como a versão pública do ChatGPT compartilha as entradas do usuário com a OpenAI, surgiu a preocupação de que dados sensíveis possam ter vazado para fora da rede interna

Resposta da CISA e posição oficial

  • A porta-voz da CISA, Marci McCarthy, explicou que Gottumukkala “recebeu autorização para usar o ChatGPT sob controle do DHS
    • Ela enfatizou que o uso foi “de curto prazo e limitado
  • Gottumukkala atua como diretor interino desde maio de 2025, e o Senado ainda não confirmou Sean Plankey como diretor permanente
  • A Politico também mencionou outros casos problemáticos durante seu período no cargo
    • Ele já teria reprovado em um teste de contrainteligência (polygraph) para acesso a informações avançadas
    • No entanto, em uma audiência recente no Congresso, ele negou e contestou essa avaliação

Política de IA do governo federal e o momento do caso

  • O incidente ocorreu em um momento em que o governo Donald Trump promovia a adoção de IA em todo o aparato federal
    • Em dezembro de 2025, o presidente Trump assinou uma ordem executiva para limitar regulações estaduais de IA
    • O Pentagon anunciou uma estratégia “AI-first” para ampliar o uso de inteligência artificial na área militar
  • Dentro desse contexto político, o caso chama atenção como um exemplo que expõe os riscos de segurança do uso de IA no setor público

Alertas internos de segurança e procedimento de investigação

  • Logo após o sistema de monitoramento de cibersegurança detectar o upload no ChatGPT, foi emitido um alerta interno
    • Em seguida, o DHS iniciou uma investigação oficial para avaliar se houve exposição de informações e qual foi a extensão dos danos
  • Segundo a reportagem, o acesso ao ChatGPT era bloqueado para funcionários comuns do DHS, mas Gottumukkala obteve permissão por meio de um pedido de exceção especial
  • Houve preocupação interna no governo federal de que a forma como a OpenAI processa dados possa entrar em conflito com as políticas de segurança da rede interna do governo

Impacto e significado do caso

  • O caso mostra que até altos responsáveis pela segurança do governo federal podem ficar expostos a riscos de segurança ao usar ferramentas de IA
  • Ganha destaque a necessidade de reforçar as diretrizes para uso de IA em órgãos públicos e revisar os sistemas de proteção de dados
  • À medida que a adoção de tecnologias de IA acelera, reforça-se a importância de controles de segurança e procedimentos transparentes de uso

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-30
Opiniões do Hacker News

  • Situações assim fazem parecer óbvio que um LLM dedicado ao GovCloud é indispensável
    É frustrante ver o governo como se estivesse sendo liderado por “sobrinhos dos sobrinhos nomeados”
    Fico lembrando da minissérie Chernobyl, da HBO — como naquela cena em que o chefe da ciência vinha de uma fábrica de sapatos; parece que entramos numa era em que ninguém mais precisa ser competente no próprio trabalho

    • Segundo a matéria, o ChatGPT era bloqueado para a maioria dos funcionários do DHS, e só Gottumukkala tinha autorização especial para uso limitado
      Ainda assim, ele foi pego numa verificação de segurança, o que sugere que o governo considerava inseguro o uso amplo disso
      Dizem que já estão desenvolvendo, com a OpenAI, um modelo voltado ao governo, o ChatGPT Gov
    • Colocar gente incompetente em posições de poder é uma ferramenta política clássica para garantir lealdade
      Como a pessoa não chegou lá por mérito, acaba sendo leal apenas a quem a nomeou e perde qualquer interesse na qualidade do trabalho
      Quanto mais fraco o líder, mais ele recorre a isso — e, infelizmente, funciona bastante
    • “Sobrinhos dos sobrinhos nomeados”? Não dá para esquecer também dos Large Adult Sons
      O meme relacionado pode ser visto neste artigo da The New Yorker e nesta página do KnowYourMeme
    • Parece uma estratégia deliberada para fazer o governo parecer incompetente, de modo que empresas privadas administradas por amigos ou parentes acabem assumindo o trabalho
      Assim, fica muito mais fácil desviar recursos com eficiência
    • Só para constar: Chernobyl, da HBO, é ficção. Na vida real, não houve cena de “diretor de fábrica de sapatos” bebendo vodca

  • O nível de segurança operacional (op-sec) deste governo é quase uma trapalhada no nível de “Barney Fife”

    • A equipe de segurança do Maduro, na Venezuela, talvez discorde um pouco dessa opinião
    • O Fife pelo menos tinha boas intenções. Além disso, o chefe dele nem deixava que ele carregasse arma
    • A falta geral de capacidade deste governo parece coisa de “criança passando cola”
    • Talvez essa incompetência não seja bug, mas funcionalidade
    • Eu também trabalhei 10 anos com compras governamentais e vendas, e isso tudo me faz rir
      Ver alguém sem noção do processo de aquisição tentando resolver tudo com busca online não é tão diferente de um executivo em 2007 pesquisando “o que é RFP?”

  • É estranho que alguém que já podia usar um ChatGPT Pro seguro baseado em Azure tenha ido usar o 4o público
    O governo já tinha um ambiente seguro e segregado
    No fim, ele conseguiu autorização para uso apenas no nível de “documentos não oficiais”, mas esse tipo de erro básico é difícil de aceitar em um líder da CISA

    • Mas, se ele for um fantoche plantado, provavelmente nem saberia usar esse tipo de ferramenta direito

  • O ideal é ler a fonte original no artigo da Politico

  • Quem quebra as regras são sempre os de cima
    Conheço gente que trabalhou com comunicações militares e dizia que oficiais de alta patente frequentemente ignoravam procedimentos de segurança só por acharem inconveniente

  • As pessoas já eram descuidadas até em redes sociais públicas
    Com a chegada dos LLMs, isso tende a piorar ainda mais

    • O risco real está aí. Hoje nem existe um jeito de pedir a exclusão dos dados de um LLM

  • Em setores sujeitos a ITAR/EAR (aeroespacial, defesa etc.), bloquear o acesso ao ChatGPT.com deveria ser obrigatório
    É chocante que isso já não estivesse em vigor

    • Concordo. Mas as regras de ITAR e EAR são especialmente ambíguas no ensino superior
    • Segundo o relatório, Gottumukkala pediu uma autorização de exceção para acessar o ChatGPT

  • O nível de competência nisso tudo foi exatamente o esperado

    • Ele foi nomeado diretamente por Kristi Noem
      Segundo o perfil na Wikipédia, ele foi nomeado vice-secretário do DHS em abril de 2025 e começou a atuar como diretor interino da CISA em maio

  • Foi até divertido ficar desmarcando as configurações de cookies uma por uma
    Um terço das 1668 empresas parceiras alegava ter “interesse legítimo”
    Como o Privacy Badger bloqueia só 19, talvez algumas estejam apenas enchendo a página com cookies falsos
    No fim, até esqueci de ler a matéria

    • O mesmo cookie pode ser compartilhado entre vários parceiros, ou os dados coletados podem ser repassados
      Isso não é só uma “lei dos cookies”, mas uma lei sobre compartilhamento de dados pessoais
      Por exemplo, para vender meu SSN e meu e-mail para 1668 empresas, seria preciso obter o consentimento para cada uma delas

  • No fim, o governo provavelmente vai tentar resolver isso empurrando uma integração forçada com o Grok

    • O DOGE provavelmente já extraiu todos os dados de que precisava, mas ainda vai querer mais