Navegadores agentes enfrentam escrutínio por sua vulnerabilidade à manipulação

A injeção de prompt difere fundamentalmente do hacking tradicional. Em vez de código malicioso, o ataque se baseia em palavras cuidadosamente elaboradas. Essa mudança evidencia os desafios únicos de segurança que a inteligência artificial traz para plataformas amplamente usadas, como navegadores da web.

A inteligência artificial está cada vez mais integrada à tecnologia do dia a dia, incluindo navegadores. No entanto, novas pesquisas da Malwarebytes levantam preocupações de que essa evolução possa habilitar ataques inéditos que não dependem de código, mas sim de linguagem.

No centro da questão está a técnica chamada injeção de prompt, um método de enganar modelos de linguagem de grande porte (LLMs) para executar instruções ocultas embutidas em conteúdos aparentemente inofensivos. As descobertas da Malwarebytes sugerem que, à medida que navegadores incorporam assistentes de IA capazes de interagir mais profundamente com sites, eles também podem se tornar mais suscetíveis a esse tipo de manipulação.

Os LLMs são projetados para seguir instruções do usuário – seja uma pergunta digitada, um pedido de resumo ou um comando – a fim de executar uma tarefa. O problema é que esses modelos nem sempre delimitam claramente a diferença entre instruções internas, como regras impostas pelos desenvolvedores contra comportamentos maliciosos, e entradas externas fornecidas por usuários ou conteúdos de terceiros.

Essa fraqueza abre brechas para adversários. A injeção de prompt depende de truques linguísticos: em vez de explorar falhas de software, os atacantes inserem comandos ocultos dentro de textos ou dados. Quando um sistema de IA processa esse conteúdo – por exemplo, de uma página da web ou de um PDF – ele pode interpretar as instruções como legítimas e executá-las como se viessem do usuário.

A pesquisa da Malwarebytes demonstrou como sites aparentemente comuns ou comentários em redes sociais poderiam contrabandear esses prompts para dentro do fluxo de comandos de um navegador com IA, levando a ações não autorizadas. Um dos métodos envolve formatação invisível, como esconder instruções em texto branco sobre fundo branco. Humanos não percebem o truque, mas a IA pode captar.

Os riscos aumentam à medida que os navegadores evoluem de simples auxiliares de IA para o que os pesquisadores chamam de navegadores agentes. Um navegador de IA apenas complementa funcionalidades existentes: resumindo artigos, respondendo perguntas ou agilizando buscas – tarefas ainda supervisionadas pelo usuário.

Navegadores agentes, por outro lado, são projetados para atuar com autonomia. Em vez de esperar por cliques manuais, eles podem realizar ações online em várias etapas, como reservar voos, gerenciar contas ou fazer compras. Com as permissões certas, um navegador agente pode interagir com sites como se fosse o próprio usuário, enviando dados de pagamento ou preenchendo informações sensíveis com supervisão mínima em tempo real.

A conveniência é evidente. Uma pessoa poderia pedir a um navegador agente para encontrar o voo mais barato para Paris no próximo mês e reservá-lo automaticamente. Mas as implicações de segurança são igualmente sérias: se o sistema acessar um site malicioso, pode acabar entregando credenciais de pagamento ou iniciando transações que o usuário nunca autorizou.

Em uma pesquisa separada, o assistente de IA do Brave, Leo, foi usado para explorar esses riscos. A empresa relatou que o navegador experimental Comet, da Perplexity, mostrou vulnerabilidades quando testado contra ataques de injeção indireta de prompt. Nesses casos, as instruções prejudiciais não eram digitadas pelo usuário, mas embutidas em conteúdos externos processados pelo navegador.

Segundo a Brave, essas vulnerabilidades destacam um desafio mais amplo da indústria: garantir que sistemas agentes consigam distinguir entre comandos emitidos pelo usuário e material de fundo encontrado durante a navegação. Sem essa distinção, atacantes podem usar conteúdo textual como vetor de ataque.

A Perplexity tentou corrigir o Comet contra esses ataques duas vezes, mas a Brave afirmou que as correções ainda não resolvem totalmente o problema de base.

Pesquisadores defendem que filtros mais robustos e uma separação mais rígida entre canais de entrada são essenciais para proteger navegadores agentes contra injeção de prompt. Até que essas salvaguardas amadureçam, especialistas recomendam cautela.

Boas práticas incluem limitar as permissões concedidas a navegadores agentes, manter o software atualizado e revisar a procedência de sites antes de permitir interações automáticas. Métodos fortes de autenticação, como logins de múltiplos fatores, podem reduzir o impacto em caso de roubo de credenciais, enquanto o monitoramento de registros de atividade pode ajudar a detectar anomalias precocemente. Analistas de segurança também aconselham a não delegar ações de alto risco, como grandes transações financeiras, sem confirmação humana.

• Veja também: Hackers estão adotando malware com inteligência artificial enquanto equipes de segurança respondem com suas próprias IAs