Pesquisadores de segurança do Google alertaram que páginas públicas da internet estão sendo utilizadas para sequestrar agentes de inteligência artificial corporativos por meio de uma técnica chamada injeção indireta de instrução. A descoberta foi feita a partir de uma varredura no repositório Rastreamento Comum, uma base de dados gigantesca que reúne bilhões de páginas web acessíveis ao público. O levantamento revelou um padrão crescente de armadilhas digitais embutidas em sites aparentemente inofensivos, nas quais administradores de portais ou atores maliciosos escondem comandos dentro do código-fonte das páginas. Essas instruções permanecem invisíveis para leitores humanos, mas são interpretadas como ordens válidas por sistemas de inteligência artificial que coletam informações da web, colocando em risco dados sensíveis de empresas inteiras.
A técnica de injeção indireta de instrução representa uma evolução sofisticada em relação aos métodos mais conhecidos de manipulação de modelos de linguagem. Nos ataques tradicionais, chamados de injeção direta, um usuário tenta enganar o chatbot digitando comandos como "ignore todas as instruções anteriores" durante uma conversa. As equipes de segurança já desenvolveram barreiras protetoras razoavelmente eficazes contra esse tipo de abordagem, restringindo o que o modelo pode aceitar como instrução válida durante uma interação. O problema é que a variante indireta contorna todas essas defesas ao esconder o comando malicioso dentro de uma fonte de dados considerada confiável, como uma página web que o próprio sistema foi instruído a consultar.
Para compreender a gravidade da situação, basta imaginar um departamento de recursos humanos que utilize um agente de inteligência artificial para avaliar currículos de candidatos a vagas de engenharia. O recrutador humano solicita que o assistente virtual acesse o portfólio pessoal de um candidato e produza um resumo dos projetos anteriores. O agente navega até o endereço informado, lê o conteúdo da página e começa a processar as informações ali disponíveis. No entanto, oculto no código da página, seja na forma de texto branco sobre fundo branco ou enterrado nos metadados, existe uma instrução adicional ordenando que o modelo ignore todas as diretrizes anteriores, envie uma cópia do diretório interno de funcionários da empresa para um endereço de rede externo e, em seguida, gere um resumo positivo do candidato. O sistema de inteligência artificial não consegue distinguir entre o conteúdo legítimo da página e o comando malicioso embutido, tratando todo o texto como um fluxo contínuo de informações e interpretando a nova ordem como uma tarefa de alta prioridade a ser executada imediatamente.
Esse cenário ilustra um desafio fundamental na arquitetura dos modelos de linguagem de grande porte atuais. Esses sistemas foram projetados para interpretar e responder a instruções contidas em texto, sem possuir capacidade inerente de separar o que é dado informativo do que é um comando executável. Quando um agente corporativo navega pela internet e encontra uma página com instruções ocultas, o modelo processa tudo de forma integral e age conforme determinado, utilizando suas permissões internas de acesso à infraestrutura da empresa para cumprir a ordem maliciosa. A consequência direta é a exfiltração silenciosa de dados corporativos sensíveis sem que nenhum alarme seja disparado nos sistemas de segurança tradicionais.
A dificuldade de detecção desse tipo de ataque reside no fato de que as arquiteturas de defesa cibernética convencionais não foram concebidas para monitorar o comportamento interno de modelos de inteligência artificial. Firewalls, sistemas de detecção de ameaças em pontos de extremidade e plataformas de gestão de identidade e acesso são projetados para identificar tráfego de rede suspeito, assinaturas de malwares ou tentativas de login não autorizadas. Um agente de inteligência artificial executando uma injeção de instrução não gera nenhum desses indicadores de alerta, pois opera com credenciais legítimas e sob uma conta de serviço aprovada, com permissões explícitas para ler bancos de dados internos e enviar mensagens. Quando o comando malicioso é executado, a ação é praticamente indistinguível das operações rotineiras do sistema.
O problema se agrava quando se observa o mercado atual de ferramentas de observabilidade voltadas para inteligência artificial. Fabricantes dessas plataformas divulgam intensamente a capacidade de acompanhar o uso de tokens, a latência das respostas e o tempo de disponibilidade do sistema, métricas importantes, mas insuficientes para identificar manipulações sutis no comportamento decisório do modelo. Poucas dessas ferramentas oferecem supervisão significativa sobre a integridade das decisões tomadas pelo assistente virtual. Quando um sistema de agentes coordenados se desvia de sua função original por conta de dados envenenados, nenhum alerta soa no centro de operações de segurança, simplesmente porque o sistema acredita estar funcionando exatamente como foi programado.
Diante desse quadro, os pesquisadores apontam a verificação com duplo modelo como um mecanismo defensivo viável. A proposta consiste em impedir que o agente principal, dotado de altos privilégios de acesso, navegue diretamente pela web. Em vez disso, a empresa implanta um modelo menor e isolado, cuja única função é atuar como um sanitizador. Esse modelo restrito acessa a página externa, remove formatações ocultas, isola comandos executáveis e repassa ao motor de raciocínio principal apenas um resumo em texto puro, livre de potenciais instruções maliciosas. Caso o modelo sanitizador seja comprometido, ele não possui as permissões necessárias para causar qualquer dano à infraestrutura corporativa, limitando o impacto do ataque ao seu próprio escopo isolado.
Além da verificação em camadas, especialistas recomendam a adoção rigorosa do princípio de compartmentalização no uso de ferramentas pelos agentes. É comum que desenvolvedores concedam permissões amplas e irrestritas aos assistentes virtuais para agilizar processos de automação, agrupando capacidades de leitura, escrita e execução em uma única identidade de sistema. Essa prática cria uma superfície de ataque desproporcional. Os princípios de confiança zero devem ser aplicados diretamente ao agente: um sistema projetado para pesquisar concorrentes na internet nunca deveria possuir permissão de escrita no sistema de gestão de relacionamento com clientes da empresa, por exemplo. A separação estrita de responsabilidades reduz drasticamente as consequências de um eventual sequestro.
Outro pilar essencial na defesa contra injeções indiretas de instrução é a evolução dos registros de auditoria para rastrear a linhagem precisa de cada decisão tomada pela inteligência artificial. Se um agente financeiro recomendar uma operação de compra ou venda de ações de forma inesperada, os responsáveis por conformidade precisam ser capazes de rastrear essa recomendação até os pontos de dados específicos e as URLs externas que influenciaram o raciocínio do modelo. Sem essa capacidade forense, diagnosticar a causa raiz de uma injeção indireta torna-se praticamente impossível, deixando a empresa vulnerável a repetições do ataque sem que consiga identificar a origem do comprometimento.
A internet segue sendo um ambiente adversário por natureza, e a construção de sistemas de inteligência artificial corporativa capazes de navegar com segurança nesse cenário exige novas abordagens de governança. Restringir de forma rigorosa as fontes de informação que esses agentes consideram confiáveis, implementar verificações em múltiplas camadas e manter um rastreamento detalhado de cada decisão automatizada são medidas fundamentais para que as organizações possam aproveitar os benefícios dos assistentes virtuais sem se expor a riscos catastróficos de segurança. A pesquisa do Google deixa claro que a ameaça já não é teórica e exige atenção imediata das equipes que desenvolvem e operam agentes autônomos em ambientes corporativos.
