Pesquisadores afirmam que aplicativos da GPT Store da OpenAI coletam dados e facilitam rastreamento online

Foram analisados cerca de 120 mil GPTs e mais de 2.500 actions — que convertem texto em linguagem natural em JSON para chamadas de API — ao longo de quatro meses, indicando práticas extensivas de coleta de dados que são contrárias às políticas da OpenAI e frequentemente documentadas de forma inadequada nas políticas de privacidade.

Dados indicam que apenas 5,8% das actions divulgam claramente suas práticas de coleta de dados, que podem incluir dados sensíveis, como senhas, além de poderem ser utilizadas para rastreamento e análise de anúncios, uma preocupação comum em aplicativos móveis e Web.

A maioria dos cerca de 3 milhões de GPTs disponíveis na loja foi personalizada por desenvolvedores terceirizados para executar funções específicas, como análise de dados de planilhas ou escrita de códigos. Aproximadamente 4,6% desses GPTs implementam actions, das quais 82,9% são desenvolvidas por terceiros.

Pelo menos 1% dos GPTs estudados coletam senhas, mesmo que apenas para fins de conveniência, como facilitar o login, e não para propósitos maliciosos. No entanto, isso pode representar um risco, uma vez que as senhas podem ser incluídas em dados de treinamento, potencialmente resultando em vazamentos acidentais. Além disso, as actions são incorporadas em vários GPTs, o que pode permitir a coleta e o compartilhamento de dados entre diferentes actions.

Os pesquisadores observam que a OpenAI está ciente do problema e já removeu mais de 2,8 mil GPTs durante o período de monitoramento. No entanto, concluem que os esforços da companhia para controlar o crescimento de seu ecossistema são insuficientes. Embora a empresa exija que os GPTs cumpram as leis de privacidade de dados, ela não oferece aos GPTs os controles necessários para que os usuários possam exercer seus direitos de privacidade e não isola adequadamente a execução de actions para evitar a exposição de dados entre diferentes actions incorporadas em um GPT.