A integração de inteligência artificial (IA) nos browsers que utilizamos diariamente está a transformar a forma como interagimos com a internet. No entanto, esta inovação acarreta novos riscos de segurança que aproveitam a linguagem, em vez de código, para executar ataques.
A ascensão da ‘injeção de prompts’ como vetor de ataque
A ‘injeção de prompts’ é uma técnica que se distingue fundamentalmente da pirataria informática tradicional. Em vez de se basear em código malicioso, o ataque recorre a instruções textuais elaboradas para manipular os Large Language Models (LLM) que alimentam as novas funcionalidades de IA.
Esta abordagem evidencia os desafios de segurança únicos que a IA introduz em plataformas de uso generalizado, como os browsers.
Um estudo recente da Malwarebytes acende o alerta para esta nova classe de ameaças. A investigação demonstra que, à medida que os browsers integram assistentes de IA com capacidade para interagir de forma mais profunda com os websites, tornam-se também mais vulneráveis a este tipo de manipulação.
O problema reside na forma como os LLM processam a informação. Estes modelos foram desenhados para seguir as instruções do utilizador: seja uma pergunta, um pedido de resumo ou um comando.
Contudo, nem sempre conseguem distinguir claramente entre as suas diretrizes internas (como as regras impostas pelos programadores para evitar comportamentos maliciosos) e os dados externos fornecidos por utilizadores ou por conteúdos de terceiros.
Esta debilidade cria uma oportunidade para agentes maliciosos. A injeção de prompts explora este ponto fraco: em vez de procurar falhas de software, os atacantes inserem comandos ocultos em textos aparentemente inofensivos.
Quando o sistema de IA processa esse texto – por exemplo, ao ler uma página web ou um documento PDF -, pode interpretar essas instruções como legítimas e executá-las como se tivessem sido dadas pelo próprio utilizador.
A investigação da Malwarebytes demonstrou como websites ou até comentários em redes sociais podem contrabandear estes prompts para o fluxo de comandos de um browser com IA, levando a ações não autorizadas.
Um dos métodos consiste em usar formatação invisível, como esconder texto branco num fundo branco. Embora impercetível para o olho humano, a IA pode detetar e executar as instruções ocultas.
Why is no one talking about this?
This is why I don’t use an AI browser
You can literally get prompt injected and your bank account drained by doomscrolling on reddit: https://t.co/keiz7bL2XX pic.twitter.com/aGN8xrdZtD
— zack (in SF) (@zack_overflow) August 23, 2025
De simples assistentes de IA a agentes autónomos
O perigo agrava-se com a evolução dos browsers, que estão a passar de meros assistentes de IA para aquilo que os especialistas descrevem como “agentic browsers“. Um browser com funcionalidades de IA convencionais apenas aumenta as capacidades existentes: resume artigos, responde a perguntas ou otimiza pesquisas.
Em contrapartida, os agentic browsers são concebidos para operar com autonomia. Em vez de aguardarem por cliques manuais, podem executar ações complexas com vários passos, como reservar voos, gerir contas online ou efetuar compras.
Com as permissões adequadas, um agentic browser pode interagir com websites em nome do utilizador, enviando detalhes de pagamento ou preenchendo informações sensíveis com supervisão mínima em tempo real.
Numa investigação independente, a empresa Brave utilizou o seu assistente de IA, Leo, para explorar estes riscos. A equipa reportou que o browser experimental Comet, da Perplexity, revelou vulnerabilidades significativas quando sujeito a ataques de injeção indireta de prompts.
Nestes cenários, as instruções maliciosas não eram inseridas diretamente pelo utilizador, mas sim incorporadas em conteúdos externos que o browser processava durante a sua tarefa.
Segundo a Brave, estas vulnerabilidades expõem um desafio mais vasto para toda a indústria: garantir que os agentic systems conseguem diferenciar os comandos emitidos pelo utilizador do material de fundo que encontram durante a navegação. Sem essa distinção clara, o conteúdo textual transforma-se num potencial vetor de ataque.
A Perplexity já tentou corrigir as falhas no Comet por duas vezes, mas a Brave afirma que as soluções implementadas ainda não resolvem completamente o problema subjacente.
Leia também:
