Agente do ChatGPT contorna verificação de humanidade
Um usuário do Reddit relatou que o novo agente do ChatGPT conseguiu passar por um CAPTCHA da Cloudflare sem ser identificado como robô. O episódio teria ocorrido na semana passada, enquanto o assinante realizava testes com a ferramenta integrada ao navegador. Ao se deparar com o desafio “Clique para confirmar que você é humano”, a inteligência artificial teria marcado a caixa de seleção e avançado para a próxima página.
A alegação foi publicada pelo perfil u/lgkn no subreddit r/OpenAI. Duas capturas de tela foram disponibilizadas para demonstrar o processo: na primeira, o agente descreve a necessidade de clicar na checkbox; na segunda, o CAPTCHA aparece como concluído. Apesar das imagens, não há registro em vídeo que comprove a ação autônoma, o que impede a verificação independente do caso.
Relato limitado a prints de tela
Os prints mostram apenas o resultado final do desafio. Não é possível observar movimentos do cursor, tempo de resposta nem eventuais intervenções do usuário. Por isso, especialistas em segurança digital apontam que a comprovação depende de mais evidências técnicas, como registros de rede ou gravação em tempo real do procedimento.
Disponibilidade restrita ao plano Pro
O agente responsável pelo teste faz parte do pacote ChatGPT Pro, lançado em 17 de julho de 2025. A assinatura custa US$ 200, cerca de R$ 1.110 ao câmbio atual. O serviço oferece automação de tarefas com base em instruções textuais, acesso prioritário a modelos mais avançados e recursos de integração direta com páginas da web.
Como funciona o CAPTCHA de um clique da Cloudflare
O CAPTCHA — sigla para “Completely Automated Public Turing test to tell Computers and Humans Apart” — é projetado para distinguir visitantes humanos de programas automatizados. No método de um clique, o sistema analisa padrões de movimento do mouse, tempo de interação, histórico de cookies e outros sinais comportamentais gerados durante a navegação.
Segundo a Cloudflare, movimentos humanos apresentam pequenas variações de velocidade e direção, consideradas difíceis de reproduzir de forma precisa por scripts tradicionais. Além disso, a empresa combina dados de reputação de endereços IP e comportamento pregresso do navegador para reforçar a validação.
Desafio aparentemente simples esconde múltiplas camadas
Embora o usuário veja apenas uma caixa de seleção, o back-end coleta dezenas de parâmetros antes de conceder o acesso. Essa análise inclui aceleração de cursor, desvios milimétricos no trajeto do ponteiro e tempo entre o carregamento da página e o clique. Caso algum parâmetro fuja ao padrão, o visitante recebe testes adicionais, como identificar objetos em imagens.
Possíveis caminhos para a suposta evasão
Não está claro qual técnica teria permitido ao agente do ChatGPT contornar o sistema. Entre as hipóteses, especialistas citam a reprodução sofisticada de movimentos do mouse, o uso de cookies válidos herdados do navegador anfitrião ou até a delegação da tarefa a serviços de terceiros que solucionam CAPTCHAs mediante APIs.
Reprodução de padrões humanos
Modelos de inteligência artificial podem gerar trajetórias de cursor com ruído aleatório, simulando comportamentos orgânicos. Caso a movimentação alcance a granularidade exigida, o verificador pode interpretar a ação como humana e liberar o acesso.
Uso de cookies e contexto do navegador
O agente opera dentro do ambiente do assinante, compartilhando sessão, cookies e histórico local. Isso pode conferir credenciais suficientes para que o sistema da Cloudflare considere a requisição confiável, reduzindo a rigidez do desafio.
Impacto para a segurança on-line
O relato reacende o debate sobre a robustez de mecanismos de verificação de humanidade. Empresas de cibersegurança alertam que, se ferramentas de IA começarem a superar CAPTCHAs de forma consistente, páginas poderão ser alvo de scraping em larga escala, fraudes em votações on-line e outras ações automatizadas.
Métodos de defesa em avaliação
Plataformas já estudam alternativas, como desafios baseados em comportamento contínuo, autenticação biométrica e sistemas de confiança zero, nos quais cada requisição passa por múltiplas camadas de verificação. No entanto, todas as soluções enfrentam o dilema de manter a fricção baixa para usuários legítimos.
Próximos passos e incertezas
Até que novas demonstrações públicas sejam divulgadas, a alegação permanece sem comprovação externa. A OpenAI não comentou o caso, e a Cloudflare também não se pronunciou sobre possíveis falhas em seu CAPTCHA. Enquanto isso, pesquisadores acompanham de perto a evolução de agentes autônomos e seu potencial de desafiar barreiras pensadas para separar humanos de máquinas.