Quando um agente de IA consegue ler páginas, clicar em botões e escrever dentro de formulários, tal como faria um utilizador humano, ganhamos produtividade e também uma nova classe de riscos.
A chamada injeção de prompt é uma técnica de manipulação que esconde instruções maliciosas dentro de conteúdos aparentemente inofensivos. Em vez de atacar o código tradicional, o atacante “fala” com o modelo através do texto: mistura ordens disfarçadas no meio de um email, de um documento ou de uma página web, esperando que o agente de IA as interprete como válidas.
Isto é possível porque muitos sistemas combinam instruções internas (do desenvolvedor) com entradas do utilizador e conteúdo encontrado online, tudo em linguagem natural. Não há uma barreira rígida entre “isto é contexto” e “isto é uma ordem”. O modelo aprende a priorizar com base em padrões e sinais contextuais. Se uma instrução externa estiver formulada de forma convincente, pode ganhar peso indevido e desviar o comportamento do agente.
O risco multiplica-se quando o agente percorre várias fontes no mesmo pedido: emails e anexos, calendários, documentos partilhados, fóruns, redes sociais ou sites aleatórios. À medida que consome grandes volumes de informação, torna-se provável cruzar-se com trechos que tentam manipulá-lo. Pior: o utilizador nem sempre vê cada passo do que o agente leu, clicou ou executou. Essa opacidade abre uma porta subtil para ordens clandestinas.
OpenAI revela ataque nos navegadores com IA impossível de bloquear
Imagine uma caixa de entrada com um email sem importância aparente. Lá dentro, um bloco de texto “instrui” qualquer agente automatizado a executar uma ação que ninguém pediu. Horas depois, o utilizador solicita ao agente algo inócuo, como preparar uma resposta automática. Durante a execução, o agente lê esse email e segue as instruções escondidas. O resultado pode ir do cómico ao desastroso: desde enviar mensagens inconvenientes até ações profissionais com impacto real. O problema não é o pedido original do utilizador; é o conteúdo “semeado” que o agente encontra pelo caminho.
A segurança absoluta é um mito antigo em cibersegurança. Tal como as fraudes e a engenharia social nunca desapareceram da web, a injeção de prompt deverá acompanhar a evolução dos agentes de IA. O objetivo realista não é tornar o sistema impenetrável, mas aumentar o custo do ataque e limitar os danos quando algo corre mal. Isso implica modelos mais resilientes, validações adicionais, sistemas de confirmação e, sobretudo, uma mentalidade de segurança que assume adversários em constante adaptação.
Na sequência de testes internos de red teaming automatizado exercícios que simulam atacantes a descobrir falhas, a OpenAI lançou uma atualização de segurança para o agente do Atlas. Entre as medidas anunciadas estão: Treino adversarial do modelo do agente, para o habituar a reconhecer e rejeitar instruções não solicitadas que surjam no conteúdo. Salvaguardas adicionais em torno do sistema, reforçando as defesas quando o agente navega, lê e interage com páginas.
A ideia é clara: tornar o agente mais difícil de manipular durante a navegação, sem bloquear a utilidade do produto.
Mesmo com defesas melhoradas, o comportamento do utilizador continua a ser decisivo. Algumas práticas sensatas: Usar o agente sem sessão iniciada quando a tarefa não exigir acesso a contas. Menos permissões, menos exposição. Ler com atenção as janelas de confirmação antes de aprovar ações sensíveis (enviar emails, efetuar compras, alterar configurações). Dar instruções explícitas e bem delimitadas. Pedidos vagos obrigam o agente a percorrer mais fontes e aumentam o risco de tropeçar em conteúdo malicioso. Segmentar tarefas em passos menores e exigir revisões humanas em pontos críticos. Definir listas de permissões (whitelists) de fontes sempre que possível e evitar links de origem duvidosa. Manter uma higiene digital básica: caixas de email limpas, filtros ativos e separação entre ambientes pessoais e profissionais.
Se está a planear integrar um agente no seu trabalho diário, vale a pena mapear o percurso da informação: Que dados o agente vai ver? (emails, anexos, documentos partilhados) Que ações pode executar sem pedir confirmação? Em que pontos é que uma instrução externa poderia influenciá-lo? Com estas respostas em mãos, ajuste permissões, reduza a superfície de ataque e imponha checkpoints. Em equipas, documente políticas de uso e ofereça formação rápida sobre sinais de manipulação: conteúdos que “falam diretamente” com o agente, urgências inexplicáveis, pedidos para contornar políticas internas.
Agentes de navegação são um salto em produtividade. Podem compilar relatórios, atualizar sistemas, responder a clientes e gerir rotinas aborrecidas. Mas esse poder precisa de moldura: controles, transparência e hábitos de utilização que minimizem o espaço para o erro humano e para a manipulação intencional. À medida que os fornecedores fortalecem os modelos com treino adversarial e salvaguardas, cabe aos utilizadores e às organizações fechar o ciclo com práticas responsáveis.
A web sempre foi um ecossistema em mudança. Agora, com agentes que a habitam de forma ativa, a fronteira entre “ler” e “agir” esbate-se. É precisamente por isso que a segurança deixa de ser um add-on e passa a ser parte integrante do design e do nosso dia a dia digital.
Fonte:da Redação e da maistecnologia.com
Reeditado para:Noticias do Stop 2025
Outras fontes • AFP, AP, TASS, EBS
Material Informático - www.aplicloja.com
Receba diariamente no Grupo STOPMZNWS poderá ler QRCOD
Link do Grupo WhatsApp - https://chat.whatsapp.com/JUiYE4NxtOz6QUmPDBcBCF
Qual Duvida pode enviar +258 827606348 ou E-mail:
Em criação o Aplicativo o APP que ira ver notícias diariamente em seu celular Fotografias:Getty Images/Reuters/EFE/AFP
