Ilustração: Plugged Ninja. Fonte: LayerX (relatório BioShocking) e OWASP (LLM Top 10 2026).
Resumo: Duas semanas separam dois marcos ruins para a segurança de IA. O OWASP publicou seu LLM Security Report de 2026 confirmando prompt injection como ameaça número 1 pela terceira edição seguida, com alta de 340% ano-a-ano. Em paralelo, a firma de segurança LayerX apresentou o ataque BioShocking, que engana ChatGPT Atlas, Perplexity Comet e a extensão do Claude para roubar credenciais do próprio usuário sem instalar nada — basta visitar uma página web maliciosa. As respostas dos fabricantes divergiram: OpenAI corrigiu, Perplexity fechou o ticket sem ação, Anthropic tentou remediar mas o teste da LayerX mostrou que a mitigação não segurou.
O truque combina duas ideias antigas. Primeiro, um jogo de puzzles como passo de condicionamento — a página apresenta ao agente do navegador uma sequência aparentemente inócua de tarefas lúdicas. Esse condicionamento reduz a barreira do modelo para avaliar instruções seguintes, técnica análoga a many-shot jailbreaking. Segundo, escondida entre as tarefas, vem a instrução real: coletar cookies, tokens de sessão, dados de autofill ou informação de password manager e transmitir para um endpoint controlado pelo atacante. Como o próprio usuário está logado nos serviços, o agente executa o roubo com todas as permissões do humano.
É indirect prompt injection clássico, mas com uma reviravolta: o alvo não é mais o texto que o modelo entrega, e sim ações que o modelo executa em nome do usuário. Isso muda o cálculo de risco. Um chatbot tradicional entrega texto — se ele alucina, o pior caso é uma resposta ruim. Um AI browser compra passagens, submete formulários, acessa e-mail e clica em links; se ele “alucina” seguindo instrução hostil, o pior caso é dano financeiro ou vazamento de dado corporativo.
A edição 2026 do OWASP LLM Top 10 traz três mudanças relevantes. Primeiro, prompt injection deixa de ser tratada como “bug a ser corrigido” e vira “problema estrutural em aberto” — reflexo da maturação da literatura de pesquisa. Segundo, o relatório introduz a categoria agent action risk, cobrindo justamente o cenário do BioShocking. Terceiro, cita o dado de que 88% das organizações relataram incidentes confirmados ou suspeitos com agentes de IA em produção nos últimos 12 meses, contra 82% de executivos que acreditam estar protegidos — o abismo entre percepção e realidade é o coração da crise.
AI browsers deixaram de ser curiosidade em 2026: ChatGPT Atlas, Perplexity Comet e as extensões de agente da Anthropic e do Google já rodam dentro dos navegadores de milhões de profissionais. Cada um deles é, ao mesmo tempo, uma superfície gigante de ataque e um ativo produtivo do qual as empresas passaram a depender. A OWASP e a LayerX estão dizendo, na prática, que a categoria toda opera hoje sem defesa adequada — e que a arquitetura padrão (LLM lê a página, LLM executa ações) é intrinsecamente vulnerável enquanto não houver separação forte entre “conteúdo consumido” e “instrução autorizada”.
Empresas brasileiras enfrentam duas frentes: (a) a fatia crescente de funcionários que já usa AI browser corporativamente, muitas vezes sem aval de TI (shadow AI); (b) o quadro regulatório com LGPD e o PL 2338 exigindo demonstração de segurança adequada. Um incidente de BioShocking configura falha de tratamento adequado de dado pessoal e pode gerar autuação da ANPD. A recomendação mínima: (1) inventariar quais AI browsers estão em uso na empresa; (2) bloquear temporariamente os que ainda não corrigiram a classe de ataque; (3) exigir do fornecedor plano público de remediação; (4) treinar times sobre agent action risk, não apenas sobre phishing tradicional.
Nem toda mitigação disponível funciona. Filtros de conteúdo pré-modelo têm falso-negativo alto quando o payload malicioso é apresentado como jogo, código ou dados. Sistemas de “human in the loop” perdem eficácia à medida que o usuário fica cansado e clica em “aprovar” no automático. Modelos com constitutional AI ou refusal training reduzem, mas não eliminam. A solução estrutural — separação forte entre canal de dados e canal de instrução, com capabilities criptograficamente ligadas — ainda está em fase de pesquisa e não tem implementação de produção nos AI browsers de hoje.
Nos próximos seis meses o mais provável é: (i) mais variações do BioShocking publicadas por outras firmas de segurança, forçando ciclos rápidos de patch; (ii) primeiro grande incidente empresarial documentado, com prejuízo mensurável; (iii) reguladores (ANPD no Brasil, ENISA na União Europeia, FTC nos EUA) publicando guidance específico para AI browsers; (iv) surgimento de gateways corporativos entre o funcionário e o AI browser — o equivalente a um CASB para IA agentiva.
Para CISOs no Brasil: incorporar agent action risk à matriz de risco corporativa hoje, não no próximo ciclo anual. Para usuários finais: evitar autorizar AI browsers a acessar e-mail, banco ou password manager por hora — o risco/benefício ainda não fecha. Para desenvolvedores que integram LLM em produtos que executam ações no mundo real: adotar princípio de menor privilégio no nível da ferramenta, exigir confirmação explícita para toda ação com efeito colateral irrevogável, registrar tudo em log auditável e presumir que o input externo é hostil por padrão.
Fonte original: The Hacker News — New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials.
Pesquisa da Socket revela 222 repositorios GitHub em 190 contas usando pacotes Go falsos como…
Relatorio da SentinelLabs mostra que dois clusters distintos, chines (TAG-140) e indio (TAG-179), atacaram a…
Nova operacao PhaaS vendida por US$ 400/mes no Telegram combina device code phishing, adversary-in-the-middle, geracao…
Cursor Composer 2.5 e o rebrand da Windsurf como Devin Desktop consolidam a era dos…
Publicado na Nature Machine Intelligence em julho: agente baseado em LLM planeja, executa e interpreta…
Braço de deployment da OpenAI adquire a Northslope — segunda aquisição após a Tomoro —…