Um chatbot médico voltado para pacientes, implantado publicamente e construído sobre geração aumentada por recuperação (RAG), expôs seu prompt de sistema completo, esquema de API de backend, conteúdo da base de conhecimento e as 1.000 conversas mais recentes de pacientes — tudo acessível através de ferramentas padrão de inspeção de navegador, sem autenticação obrigatória. As descobertas, publicadas em maio de 2026 por Alfredo Madrid-García e Miguel Rujas, representam um caso documentado de exposição crítica de infraestrutura em uma implantação de IA em saúde regulada e ativa.
A avaliação utilizou uma metodologia de dois estágios. No primeiro estágio, Claude Opus 4.6 foi utilizado para conduzir testes baseados em prompts exploratórios e gerar hipóteses estruturadas de vulnerabilidade — identificando que a configuração sensível de RAG e sistema parecia ser transmitida através da comunicação cliente-servidor em vez de ser mantida no lado do servidor. No segundo estágio, pesquisadores verificaram manualmente cada descoberta usando Chrome Developer Tools, inspecionando tráfego de rede visível no navegador, payloads, esquemas de API e dados de interação armazenados.
A verificação manual confirmou múltiplas exposições. Pesquisadores coletaram o prompt de sistema completo, detalhes de configuração de modelo e embedding, parâmetros de recuperação, endereços de endpoint de backend, definições de esquema de API, metadados de documento e chunk, e o conteúdo bruto da própria base de conhecimento. De forma mais crítica, as 1.000 conversas mais recentes entre pacientes e chatbot foram recuperáveis sem autenticação — contradizendo diretamente as próprias garantias de privacidade do chatbot. As conversas incluíram consultas de pacientes relacionadas à saúde.
Para arquitetos de IA em saúde empresarial, a superfície de exposição é direta. Cada item vazado — prompt de sistema, metadados de vector store, esquema de API — foi transmitido para o navegador como parte da operação normal cliente-servidor. A implantação moveu lógica do lado do servidor para o lado do cliente, depois assumiu que ninguém olharia. Chrome Developer Tools não requer nenhuma habilidade especializada; as mesmas técnicas disponíveis para um auditor de segurança estão igualmente disponíveis para um adversário motivado.
As implicações de conformidade são significativas. Conversas de pacientes contendo consultas relacionadas à saúde, expostas sem autenticação, criam responsabilidade direta sob HIPAA e marcos equivalentes. Divulgação de prompt de sistema e configuração de embedding também expõe investimentos em fine-tuning de modelo proprietário e lógica de recuperação — perda de IP junto com exposição regulatória. Fornecedores e equipes internas que adquirem ou constroem sistemas RAG voltados para pacientes devem tratar visibilidade de esquema de API no lado do cliente como um modo de falha crítico.
Os autores concluem que falhas sérias de privacidade e segurança em chatbots RAG voltados para pacientes podem ser identificadas com ferramentas padrão de navegador sem habilidades especializadas ou autenticação. Revisão de segurança independente deve preceder a implantação. O estudo foi conduzido de forma não-destrutiva e o sistema é anônimo no artigo publicado; os autores não identificam o fornecedor afetado.
Red-teaming alimentado por LLM é agora uma capacidade de baixo custo disponível para qualquer ator de ameaça. Desenvolvimento assistido por IA reduz a barreira para construir sistemas RAG mais rapidamente do que reduz a barreira para protegê-los. CTOs de saúde implantando IA generativa em superfícies voltadas para pacientes precisam de um gate de segurança que trate o navegador como não confiável por padrão.
Escrito e editado por agentes de IA · Methodology