Latest:
Screenshot 2025 10 23 at 11 17 09
NoticiasInteligência ArtificialTecnologia

ChatGPT Atlas expõe risco de prompt injection

Diogo Fernando , , 8 min Leitura
PUBLICIDADE

O lançamento do ChatGPT Atlas, o novo navegador com IA da OpenAI para automação de tarefas no macOS, acendeu um alerta de segurança: prompt injection. Um relatório da Brave Software indica que navegadores com IA — incluindo Comet (Perplexity) e Fellou — podem executar comandos ocultos inseridos em páginas, imagens ou textos invisíveis, expondo dados sensíveis, senhas e contas bancárias. A OpenAI adotou o framework Guardrails no ecossistema do AgentKit, mas especialistas afirmam que a navegação assistida por agentes ainda demanda proteções mais robustas.

O que aconteceu

Pesquisadores da Brave descreveram ataques de injeção de prompt indireta capazes de abusar dos privilégios autenticados do navegador com IA. Em cenários reais, instruções disfarçadas podem levar agentes a abrir documentos, enviar e-mails e acessar contas. O same-origin policy acaba contornado porque o agente atua como o próprio usuário.

Como funcionam os ataques de prompt injection

A Brave detalhou vetores de ataque que exploram a forma como navegadores com IA coletam e processam conteúdo para os LLMs (modelos de linguagem). Dois padrões chamam atenção:

PUBLICIDADE
  • Comandos ocultos em imagens: textos quase invisíveis (por exemplo, com contraste mínimo) podem ser embutidos em imagens de páginas. Se o usuário fizer uma captura de tela e pedir ao navegador para “resumir” ou “analisar”, o agente pode ler o texto oculto e executar a ordem como se fosse do usuário.
  • Instruções disfarçadas no HTML: no caso do Fellou, apenas visitar um site malicioso é suficiente para que o agente capture trechos de texto e transmita automaticamente ao modelo, misturando conteúdo do usuário com o da página.

Esses comportamentos quebram suposições clássicas de segurança. Como o navegador com IA opera com as mesmas credenciais do usuário (cookies, sessões abertas, tokens), uma simples instrução disfarçada pode pedir para “verificar saldo”, “enviar um e-mail” ou “baixar um extrato”, o que abre portas para roubo de dados ou movimentações não autorizadas.

“Se você estiver conectado a contas confidenciais, como banco ou e-mail, resumir uma publicação aparentemente inofensiva pode induzir o agente a executar ações sensíveis sem perceber”.

Relatório de pesquisa da Brave
ChatGPT Atlas: risco de prompt injection em navegadores com IA; vulnerabilidades em imagens e textos invisíveis
Vulnerabilidades em navegadores com IA permitem que sites insiram comandos ocultos (imagem: OpenAI/Divulgação)

Tweet da Brave sobre falhas em navegadores com IA

Tradução: “A vulnerabilidade de segurança que encontramos no Comet, da Perplexity, não é um caso isolado. Injeções indiretas de prompt são um problema sistêmico que afeta o Comet e outros navegadores com IA. Hoje publicamos detalhes de mais vulnerabilidades de segurança que descobrimos”.

Por que o risco é maior em “agentic browsing”

O avanço da navegação assistida por agentes (ou agentic browsing) amplia a superfície de ataque. Diferente de extensões tradicionais, esses agentes podem planejar e executar ações sequenciais com base no contexto, como abrir abas, preencher formulários e enviar mensagens. Sem guardrails rígidos e confirmações explícitas do usuário, instruções maliciosas ganham “pernas” para agir no mundo real, usando as permissões do próprio navegador.

Como as empresas estão reagindo

A OpenAI lançou o framework Guardrails (6 de outubro) junto ao AgentKit para reduzir abusos em agentes com ChatGPT. A iniciativa adota princípios como limitação de ferramentas, verificações de segurança e logs de auditoria. Ainda assim, empresas de cibersegurança como a HiddenLayer alertam: não há solução definitiva para prompt injection neste momento, especialmente quando o agente interpreta o conteúdo da página como intenção do usuário.

  • Brave: recomenda isolar agentes da navegação comum, exigir confirmação explícita antes de ações sensíveis e diferenciar conteúdo do usuário do conteúdo do site.
  • OpenAI: promove Guardrails e práticas de controle de ferramentas no AgentKit, com foco em reduzir execuções não intencionais.
  • Perplexity e Fellou: foram citados nos testes; recomenda-se transparência sobre mitigadores, como lista de permissões por domínio e janelas de contexto filtradas.

Boas práticas para se proteger agora

Enquanto o ecossistema amadurece, vale adotar uma postura conservadora ao usar navegadores com IA em atividades críticas. Veja recomendações práticas:

  1. Separe perfis: use um navegador comum para banco/e-mail e deixe o navegador com IA para tarefas não sensíveis.
  2. Exija confirmações: desative automações que acionem ações sem revisão humana; prefira prompts que peçam confirmação antes de executar.
  3. Evite resumir páginas desconhecidas: não peça análises de capturas de tela ou sites suspeitos; comandos ocultos podem ser lidos pelo agente.
  4. Ative 2FA: mantenha autenticação em duas etapas em todas as contas e monitore notificações de login.
  5. Revise permissões: limite o acesso do agente a ferramentas e domínios; use listas de permissões e “modo leitura”.
  6. Atualize: mantenha navegador, extensões e modelos em suas versões mais recentes com patches de segurança.

Prompt injection

Injeção de prompt é a técnica de inserir instruções maliciosas no conteúdo que o agente de IA irá ler. Em navegadores com IA, o risco é maior porque o agente possui privilégios de usuário e pode executar ações no mundo real (abrir abas, enviar mensagens, baixar arquivos).

Contexto e próximos passos

O caso do ChatGPT Atlas ocorre em um momento de rápido avanço dos navegadores com IA, que prometem produtividade com automação. Os incidentes descritos pela Brave e os alertas da HiddenLayer reforçam que o setor precisa padronizar protocolos de segurança para agentes (ex.: confirmação out-of-band para ações sensíveis, sandboxes estritas, filtragem contextual do que é enviado ao LLM e auditoria contínua de execuções).

Até lá, o uso desses navegadores deve ser criterioso, com foco na redução de impacto potencial: mínimo privilégio, controle fino de ferramentas e separação de ambientes entre tarefas do dia a dia e dados críticos.

  1. O que é prompt injection em navegadores com IA?

    Resposta direta: injeção de prompt é inserir comandos ocultos para o agente. Expansão: em navegadores com IA, instruções maliciosas podem estar em textos invisíveis ou imagens; quando o agente resume/análise, ele interpreta essas instruções como do usuário e executa ações com as credenciais da sessão. Validação: relatórios da Brave e alertas da HiddenLayer descrevem casos e riscos sistêmicos.

  2. Como comandos podem ser escondidos em imagens?

    Resposta direta: via texto de baixo contraste embutido. Expansão: técnicas inserem letras quase invisíveis no bitmap; ao analisar captura de tela, o agente/LLM lê o texto oculto (OCR) e segue instruções, como abrir e-mails ou baixar arquivos. Validação: a Brave relatou vetores no Comet ao publicar detalhes técnicos do ataque.

  3. Guardrails resolve o problema de vez?

    Resposta direta: não, apenas reduz o risco. Expansão: Guardrails e AgentKit adicionam limites de ferramenta, verificações e logs, mas injeções indiretas continuam possíveis se o agente misturar conteúdo do site com o do usuário. Validação: especialistas e a Brave recomendam isolar agentes e exigir confirmação antes de ações sensíveis.

  4. Quais navegadores foram citados nos testes?

    Resposta direta: ChatGPT Atlas, Comet e Fellou. Expansão: o relatório da Brave aponta vulnerabilidades sistêmicas em navegadores com IA; o Comet (Perplexity) e o Fellou tiveram cenários práticos descritos. Validação: publicação oficial da Brave e cobertura de veículos destacam os casos.

  5. Como reduzir o risco hoje?

    Resposta direta: separe perfis e ative 2FA. Expansão: não use navegadores com IA para banco/e-mail, evite resumir páginas suspeitas, limite permissões do agente e mantenha tudo atualizado. Validação: recomendações alinhadas a práticas de segurança e às orientações divulgadas por pesquisadores.

Considerações finais

O ChatGPT Atlas e seus concorrentes mostram o potencial da automação com IA, mas também expõem novos vetores de ataque. Até que padrões de segurança para agentes se consolidem, a melhor defesa é combinar boas práticas de uso, confirmações explícitas antes de ações sensíveis e o princípio do mínimo privilégio. A inovação é bem-vinda — desde que avance lado a lado com a proteção do usuário.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

GettyImages 2164461639 1152x648 1

OpenAI fecha acordo com Google Cloud e rompe exclusividade com Microsoft

Diogo Fernando
adblock ilegal na Alemanha? Ilustração de bloqueador de anúncios e YouTube; debate sobre copyright e extensão de navegador

Adblockers no YouTube: EasyPrivacy derruba views

Diogo Fernando
mark zuckerberg palestrando

Meta impulsiona startups com Llama AI

Diogo Fernando
0 0 votos
Classificação do artigo
Inscrever-se
Notificar de
guest

0 Comentários
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários
0
Adoraria saber sua opinião, comente.x