Prompt injection dispara 340% e agora vira roubo de credencial em AI browser: o que o ataque BioShocking e o OWASP 2026 estão dizendo às empresas

Ilustração: Plugged Ninja. Fonte: LayerX (relatório BioShocking) e OWASP (LLM Top 10 2026).

Resumo: Duas semanas separam dois marcos ruins para a segurança de IA. O OWASP publicou seu LLM Security Report de 2026 confirmando prompt injection como ameaça número 1 pela terceira edição seguida, com alta de 340% ano-a-ano. Em paralelo, a firma de segurança LayerX apresentou o ataque BioShocking, que engana ChatGPT Atlas, Perplexity Comet e a extensão do Claude para roubar credenciais do próprio usuário sem instalar nada — basta visitar uma página web maliciosa. As respostas dos fabricantes divergiram: OpenAI corrigiu, Perplexity fechou o ticket sem ação, Anthropic tentou remediar mas o teste da LayerX mostrou que a mitigação não segurou.

Como o BioShocking funciona

O truque combina duas ideias antigas. Primeiro, um jogo de puzzles como passo de condicionamento — a página apresenta ao agente do navegador uma sequência aparentemente inócua de tarefas lúdicas. Esse condicionamento reduz a barreira do modelo para avaliar instruções seguintes, técnica análoga a many-shot jailbreaking. Segundo, escondida entre as tarefas, vem a instrução real: coletar cookies, tokens de sessão, dados de autofill ou informação de password manager e transmitir para um endpoint controlado pelo atacante. Como o próprio usuário está logado nos serviços, o agente executa o roubo com todas as permissões do humano.

É indirect prompt injection clássico, mas com uma reviravolta: o alvo não é mais o texto que o modelo entrega, e sim ações que o modelo executa em nome do usuário. Isso muda o cálculo de risco. Um chatbot tradicional entrega texto — se ele alucina, o pior caso é uma resposta ruim. Um AI browser compra passagens, submete formulários, acessa e-mail e clica em links; se ele “alucina” seguindo instrução hostil, o pior caso é dano financeiro ou vazamento de dado corporativo.

O que o OWASP 2026 muda

A edição 2026 do OWASP LLM Top 10 traz três mudanças relevantes. Primeiro, prompt injection deixa de ser tratada como “bug a ser corrigido” e vira “problema estrutural em aberto” — reflexo da maturação da literatura de pesquisa. Segundo, o relatório introduz a categoria agent action risk, cobrindo justamente o cenário do BioShocking. Terceiro, cita o dado de que 88% das organizações relataram incidentes confirmados ou suspeitos com agentes de IA em produção nos últimos 12 meses, contra 82% de executivos que acreditam estar protegidos — o abismo entre percepção e realidade é o coração da crise.

Por que importa

AI browsers deixaram de ser curiosidade em 2026: ChatGPT Atlas, Perplexity Comet e as extensões de agente da Anthropic e do Google já rodam dentro dos navegadores de milhões de profissionais. Cada um deles é, ao mesmo tempo, uma superfície gigante de ataque e um ativo produtivo do qual as empresas passaram a depender. A OWASP e a LayerX estão dizendo, na prática, que a categoria toda opera hoje sem defesa adequada — e que a arquitetura padrão (LLM lê a página, LLM executa ações) é intrinsecamente vulnerável enquanto não houver separação forte entre “conteúdo consumido” e “instrução autorizada”.

Status no Brasil

Empresas brasileiras enfrentam duas frentes: (a) a fatia crescente de funcionários que já usa AI browser corporativamente, muitas vezes sem aval de TI (shadow AI); (b) o quadro regulatório com LGPD e o PL 2338 exigindo demonstração de segurança adequada. Um incidente de BioShocking configura falha de tratamento adequado de dado pessoal e pode gerar autuação da ANPD. A recomendação mínima: (1) inventariar quais AI browsers estão em uso na empresa; (2) bloquear temporariamente os que ainda não corrigiram a classe de ataque; (3) exigir do fornecedor plano público de remediação; (4) treinar times sobre agent action risk, não apenas sobre phishing tradicional.

Riscos e limitações

Nem toda mitigação disponível funciona. Filtros de conteúdo pré-modelo têm falso-negativo alto quando o payload malicioso é apresentado como jogo, código ou dados. Sistemas de “human in the loop” perdem eficácia à medida que o usuário fica cansado e clica em “aprovar” no automático. Modelos com constitutional AI ou refusal training reduzem, mas não eliminam. A solução estrutural — separação forte entre canal de dados e canal de instrução, com capabilities criptograficamente ligadas — ainda está em fase de pesquisa e não tem implementação de produção nos AI browsers de hoje.

Cenário

Nos próximos seis meses o mais provável é: (i) mais variações do BioShocking publicadas por outras firmas de segurança, forçando ciclos rápidos de patch; (ii) primeiro grande incidente empresarial documentado, com prejuízo mensurável; (iii) reguladores (ANPD no Brasil, ENISA na União Europeia, FTC nos EUA) publicando guidance específico para AI browsers; (iv) surgimento de gateways corporativos entre o funcionário e o AI browser — o equivalente a um CASB para IA agentiva.

Conclusão prática

Para CISOs no Brasil: incorporar agent action risk à matriz de risco corporativa hoje, não no próximo ciclo anual. Para usuários finais: evitar autorizar AI browsers a acessar e-mail, banco ou password manager por hora — o risco/benefício ainda não fecha. Para desenvolvedores que integram LLM em produtos que executam ações no mundo real: adotar princípio de menor privilégio no nível da ferramenta, exigir confirmação explícita para toda ação com efeito colateral irrevogável, registrar tudo em log auditável e presumir que o input externo é hostil por padrão.

Fonte original: The Hacker News — New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Muck and Load: operacao com 222 repositorios no GitHub distribui malware via pacotes Go

Pesquisa da Socket revela 222 repositorios GitHub em 190 contas usando pacotes Go falsos como…

13 horas ago

China e India rodam campanhas paralelas de espionagem contra a policia do Baloquistao paquistanes

Relatorio da SentinelLabs mostra que dois clusters distintos, chines (TAG-140) e indio (TAG-179), atacaram a…

13 horas ago

Forg365: novo phishing-as-a-service industrializa roubo de sessoes do Microsoft 365 com device code, AitM e IA

Nova operacao PhaaS vendida por US$ 400/mes no Telegram combina device code phishing, adversary-in-the-middle, geracao…

13 horas ago

Agente LLM opera sincrotron sozinho e alinha cristais em experimento real: como funciona o AI X-ray Scientist da Nature Machine Intelligence

Publicado na Nature Machine Intelligence em julho: agente baseado em LLM planeja, executa e interpreta…

17 horas ago

OpenAI Deployment Company compra a Northslope: US$ 4 bi para transformar OpenAI em consultoria com engenheiros embarcados

Braço de deployment da OpenAI adquire a Northslope — segunda aquisição após a Tomoro —…

17 horas ago