Como hackers transformam agentes de AI em armas contra usuários

A cada vez que a indústria de inteligência artificial dá um passo à frente, os criminosos cibernéticos dão o seu. Um novo material analítico publicado no Habr traça a evolução dos sistemas de IA desde os primeiros modelos de linguagem até agentes multimodais e mostra como em cada etapa desse caminho surgiram ameaças de cibersegurança fundamentalmente novas. A tese principal dos autores é alarmante, mas previsível: quanto mais autonomia a IA ganha, mais perigosas se tornam suas vulnerabilidades.

A história começou de forma relativamente inofensiva. Quando os grandes modelos de linguagem surgiram pela primeira vez, os principais problemas eram considerados alucinações e vazamentos de dados dos conjuntos de treinamento. Os usuários se preocupavam que um chatbot revelasse informações pessoais de terceiros ou gerasse código malicioso. Esses riscos não desapareceram, mas sobre seu pano de fundo cresceu algo muito mais grave. Os sistemas modernos de IA deixaram de ser simples geradores de texto. Eles processam imagens e fala, interagem com serviços externos, tomam decisões e executam sequências de ações sem participação humana. É precisamente essa autonomia que os tornou um alvo atraente para uma nova geração de ciberataques.

Os pesquisadores fornecem exemplos concretos que causam inquietação. O agente Deep Research da OpenAI, projetado para análise profunda de informações na internet, provou ser vulnerável a ataques que permitem acesso despercebido ao e-mail de um usuário. O mecanismo de ataque explora a própria natureza do agente: ele pode seguir links, processar conteúdo de páginas da web e interagir com serviços. Para um atacante, é suficiente preparar uma página especialmente construída com instruções maliciosas disfarçadas no conteúdo, e o agente, ao processá-la, pode executar ações que beneficiam o atacante, não o usuário.

Uma situação ainda mais preocupante está se desenvolvendo em torno dos navegadores com IA, ou seja, sistemas capazes de navegar independentemente pela internet, preencher formulários e realizar transações. Os pesquisadores demonstram que tais sistemas são vulneráveis a exploits que permitem ações arbitrárias em páginas da web em nome do usuário. Na prática, isso significa que um atacante pode forçar um navegador com IA a seguir um link de phishing, inserir dados em um site falso ou até fazer um pagamento em uma loja online fraudulenta. O usuário pode não suspeitar de nada, pois confiou tarefas rotineiras ao agente precisamente para não monitorar cada etapa.

A raiz do problema está na arquitetura dos transformadores e na forma como os modelos modernos processam dados de entrada. Os transformadores não distinguem entre fontes confiáveis e não confiáveis de informação. Para um modelo, uma instrução do usuário e texto em uma página da web maliciosa são processados pelo mesmo mecanismo de atenção. Essa característica torna possíveis os chamados ataques de injeção de prompt, onde um atacante incorpora instruções maliciosas no conteúdo que o agente processa ao executar uma tarefa. O modelo percebe essas instruções como legítimas e as segue, efetivamente transferindo o controle do agente para o atacante.

As consequências para a indústria são difíceis de superestimar. As empresas estão implantando massivamente agentes de IA em processos de negócios, dando-lhes acesso a e-mail corporativo, sistemas CRM, ferramentas financeiras. Se um agente pode ser comprometido através do processamento de conteúdo externo, não apenas usuários individuais estão em risco, mas organizações inteiras. Enquanto isso, as ferramentas de segurança tradicionais, como software antivírus e firewalls, não são projetadas para esta classe de ataques, porque a atividade maliciosa não vem de software externo, mas de uma ferramenta de IA confiável atuando dentro de sua autoridade normal.

Os desenvolvedores de sistemas de IA estão, é claro, cientes desses riscos. OpenAI, Google e Anthropic estão investindo em mecanismos de proteção: filtragem de prompts, segregação de níveis de acesso, confirmação de ações críticas pelo usuário. No entanto, a corrida entre as capacidades do agente e seus métodos de proteção está atualmente não a favor da segurança. O mercado exige agentes cada vez mais autônomos e capazes, e cada nova capacidade é um vetor de ataque potencial.

A indústria chegou a um ponto crítico. Antes de entregar as chaves da sua vida digital aos agentes de IA, você deve ter certeza de que as fechaduras são confiáveis. Por enquanto, essa confiança não existe nem com pesquisadores, nem com desenvolvedores, nem certamente com usuários, que na busca de conveniência correm o risco de se tornarem vítimas de ataques cuja própria existência não suspeitam.