Prompt injection dispara 340% e agora vira roubo de credencial em AI browser: o que o ataque BioShocking e o OWASP 2026 estão dizendo às empresas

BioShocking transforma ChatGPT Atlas, Comet e extensão do Claude em ladrões de credenciais. OWASP mantém prompt injection como ameaça número 1 em LLM — e o Brasil precisa reagir.

Ilustração de escudo em vermelho e rosa sobre rede neural, representando ataque contra sistemas de IA

Ilustração: Plugged Ninja. Fonte: LayerX (relatório BioShocking) e OWASP (LLM Top 10 2026).

Ilustração de escudo em vermelho e rosa sobre rede neural, representando ataque contra sistemas de IA
Ilustração: Plugged Ninja. Fonte: LayerX (relatório BioShocking) e OWASP (LLM Top 10 2026).

Resumo: Duas semanas separam dois marcos ruins para a segurança de IA. O OWASP publicou seu LLM Security Report de 2026 confirmando prompt injection como ameaça número 1 pela terceira edição seguida, com alta de 340% ano-a-ano. Em paralelo, a firma de segurança LayerX apresentou o ataque BioShocking, que engana ChatGPT Atlas, Perplexity Comet e a extensão do Claude para roubar credenciais do próprio usuário sem instalar nada — basta visitar uma página web maliciosa. As respostas dos fabricantes divergiram: OpenAI corrigiu, Perplexity fechou o ticket sem ação, Anthropic tentou remediar mas o teste da LayerX mostrou que a mitigação não segurou.

Como o BioShocking funciona

O truque combina duas ideias antigas. Primeiro, um jogo de puzzles como passo de condicionamento — a página apresenta ao agente do navegador uma sequência aparentemente inócua de tarefas lúdicas. Esse condicionamento reduz a barreira do modelo para avaliar instruções seguintes, técnica análoga a many-shot jailbreaking. Segundo, escondida entre as tarefas, vem a instrução real: coletar cookies, tokens de sessão, dados de autofill ou informação de password manager e transmitir para um endpoint controlado pelo atacante. Como o próprio usuário está logado nos serviços, o agente executa o roubo com todas as permissões do humano.

É indirect prompt injection clássico, mas com uma reviravolta: o alvo não é mais o texto que o modelo entrega, e sim ações que o modelo executa em nome do usuário. Isso muda o cálculo de risco. Um chatbot tradicional entrega texto — se ele alucina, o pior caso é uma resposta ruim. Um AI browser compra passagens, submete formulários, acessa e-mail e clica em links; se ele “alucina” seguindo instrução hostil, o pior caso é dano financeiro ou vazamento de dado corporativo.

O que o OWASP 2026 muda

A edição 2026 do OWASP LLM Top 10 traz três mudanças relevantes. Primeiro, prompt injection deixa de ser tratada como “bug a ser corrigido” e vira “problema estrutural em aberto” — reflexo da maturação da literatura de pesquisa. Segundo, o relatório introduz a categoria agent action risk, cobrindo justamente o cenário do BioShocking. Terceiro, cita o dado de que 88% das organizações relataram incidentes confirmados ou suspeitos com agentes de IA em produção nos últimos 12 meses, contra 82% de executivos que acreditam estar protegidos — o abismo entre percepção e realidade é o coração da crise.

Por que importa

AI browsers deixaram de ser curiosidade em 2026: ChatGPT Atlas, Perplexity Comet e as extensões de agente da Anthropic e do Google já rodam dentro dos navegadores de milhões de profissionais. Cada um deles é, ao mesmo tempo, uma superfície gigante de ataque e um ativo produtivo do qual as empresas passaram a depender. A OWASP e a LayerX estão dizendo, na prática, que a categoria toda opera hoje sem defesa adequada — e que a arquitetura padrão (LLM lê a página, LLM executa ações) é intrinsecamente vulnerável enquanto não houver separação forte entre “conteúdo consumido” e “instrução autorizada”.

Status no Brasil

Empresas brasileiras enfrentam duas frentes: (a) a fatia crescente de funcionários que já usa AI browser corporativamente, muitas vezes sem aval de TI (shadow AI); (b) o quadro regulatório com LGPD e o PL 2338 exigindo demonstração de segurança adequada. Um incidente de BioShocking configura falha de tratamento adequado de dado pessoal e pode gerar autuação da ANPD. A recomendação mínima: (1) inventariar quais AI browsers estão em uso na empresa; (2) bloquear temporariamente os que ainda não corrigiram a classe de ataque; (3) exigir do fornecedor plano público de remediação; (4) treinar times sobre agent action risk, não apenas sobre phishing tradicional.

Riscos e limitações

Nem toda mitigação disponível funciona. Filtros de conteúdo pré-modelo têm falso-negativo alto quando o payload malicioso é apresentado como jogo, código ou dados. Sistemas de “human in the loop” perdem eficácia à medida que o usuário fica cansado e clica em “aprovar” no automático. Modelos com constitutional AI ou refusal training reduzem, mas não eliminam. A solução estrutural — separação forte entre canal de dados e canal de instrução, com capabilities criptograficamente ligadas — ainda está em fase de pesquisa e não tem implementação de produção nos AI browsers de hoje.

Cenário

Nos próximos seis meses o mais provável é: (i) mais variações do BioShocking publicadas por outras firmas de segurança, forçando ciclos rápidos de patch; (ii) primeiro grande incidente empresarial documentado, com prejuízo mensurável; (iii) reguladores (ANPD no Brasil, ENISA na União Europeia, FTC nos EUA) publicando guidance específico para AI browsers; (iv) surgimento de gateways corporativos entre o funcionário e o AI browser — o equivalente a um CASB para IA agentiva.

Conclusão prática

Para CISOs no Brasil: incorporar agent action risk à matriz de risco corporativa hoje, não no próximo ciclo anual. Para usuários finais: evitar autorizar AI browsers a acessar e-mail, banco ou password manager por hora — o risco/benefício ainda não fecha. Para desenvolvedores que integram LLM em produtos que executam ações no mundo real: adotar princípio de menor privilégio no nível da ferramenta, exigir confirmação explícita para toda ação com efeito colateral irrevogável, registrar tudo em log auditável e presumir que o input externo é hostil por padrão.

Fonte original: The Hacker News — New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials.