Pesquisadores da Forcepoint X-Labs identificaram, em abril de 2026, dez casos confirmados de Injeção Indireta de Prompt (IPI) em sites ativos na internet. A técnica, que insere comandos ocultos em páginas web para manipular agentes de inteligência artificial, saiu do campo teórico e agora compromete a infraestrutura real.
O ataque funciona explorando uma limitação estrutural dos modelos de linguagem (LLMs). A incapacidade de distinguir dados que estão sendo lidos de instruções que devem ser seguidas. Isso é chamado de ausência de fronteira dado-instrução.
smart_display
Nossos vídeos em destaque
Quando um agente de IA visita uma página para resumir conteúdo, pesquisar informações ou executar tarefas automatizadas, ele ingere tudo. Isso inclui comandos escondidos, e os trata como legítimos.
Diferente da injeção direta, em que o próprio usuário envia uma instrução maliciosa ao modelo, na IPI o atacante nunca interage com a IA. Ele envenena a página e espera.
Comandos invisíveis para humanos, legíveis para IA
Para esconder os payloads, os comandos maliciosos, os atacantes usam técnicas de ocultação que tornam o conteúdo invisível a qualquer visitante humano, mas plenamente acessível ao contexto de um LLM. Entre os métodos identificados estão fontes de 1 pixel, cores transparentes, comentários HTML e tags de metadados com namespaces customizados. A propriedade CSS display:none também foi usada com frequência.
Alguns payloads são simples blocos de texto ocultos. Outros imitam tokens internos de segurança de provedores de modelos. Como o caso do site lcpdfr.com, que usou uma string falsa chamada ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL para tentar fazer o modelo interpretar o comando como uma instrução de nível de sistema. O mesmo site empregou tags XML que simulam a estrutura de system prompts legítimos.
)
Dez casos, seis categorias de dano
Os pesquisadores classificaram os incidentes por intenção. O espectro vai de manipulação de SEO até destruição de dados.
Em faladobairro.com, um comando sudo rm -rf foi embutido na página com o objetivo de forçar um agente com acesso a terminal, como assistentes integrados a IDEs ou pipelines de CI/CD, a deletar um diretório de backup. Ferramentas como GitHub Copilot, Claude Code e revisores automatizados de código seriam alvos diretos desse tipo de payload.
Em perceptivepumpkin.com, os atacantes incluíram um fluxo completo de transação via PayPal.me, com valor fixo de US$ 5 mil e instruções passo a passo, visando agentes com capacidade de efetuar pagamentos.
)
O uso de uma plataforma legítima, em vez de um link de phishing genérico, sugere que os atacantes entenderam que modelos tendem a avaliar a confiabilidade de URLs antes de agir.
Em thelibrary-welcome.uk, um comentário HTML forçava o modelo a vazar uma chave de API secreta, basicamente uma credencial de acesso a sistemas. Em bentasker.co.uk, a injeção se passou por autoridades, alegando falsamente uma proibição de direitos autorais para fazer o modelo recusar qualquer resumo da página.
Como alternativa, o código malicioso faz a IA escrever um poema sobre milho, um payload de distração para confirmar que a injeção funcionou.
)
O problema da detecção em escala
Um ponto levantado pelos pesquisadores complica a resposta defensiva. As frases usadas para detectar IPI, como “Ignore instruções prévias” ou “Se você é um modelo de linguagem”, aparecem também em documentos legítimos de segurança, posts técnicos e relatórios de inteligência de ameaças.
Isso significa que sistemas de detecção baseados em padrões vão surfaçar conteúdo legítimo ao lado de payloads reais.
Superfície de ataque cresce com os privilégios do agente
O impacto da IPI é diretamente proporcional ao que o agente pode fazer. Um modelo que apenas resume páginas representa risco baixo. Um agente que envia e-mails, executa comandos no terminal ou processa pagamentos vira alvo de alto impacto.
)
Os padrões de injeção compartilhados entre diferentes domínios sugerem uso de kits ou templates, não experimentos isolados. Isso indica organização, e uma superfície de ataque que cresce à medida que agentes de IA ganham mais privilégios em sistemas corporativos e pessoais.
)
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.
forum
E você, o que tem a dizer?
local_mall
Ofertas TecMundo
Atualizado há 51 minutos
