Nos últimos meses, vimos como os navegadores que incorporam capacidades de inteligência artificial passaram de ser meros assistentes a se tornarem agentes que podem realizar tarefas por si mesmos: preencher formulários, navegar por várias páginas e executar sequências de ações em nome do usuário. Essa autonomia promete produtividade, mas também abre novas portas aos atacantes. Um relatório recente da assinatura Guardio descreve um cenário inquietante em que estes navegadores “agenticos” podem ser enganados para cair em armadilhas de phishing e fraude sem que o usuário tenha que intervir diretamente. Você pode ler o relatório completo do Guardio aqui: Guardio: Agentic Blabbering.
A mecânica do ataque aproveita uma característica que, paradoxalmente, percebe-se como vantagem: muitos agentes baseados em modelos de linguagem explicam em voz alta – ou em seus registros – por que tomam determinadas decisões. Esse “razonamento em voz alta” atua como uma janela para um atacante: se você pode observar quais elementos de uma página fazem duvidar do agente, ou quais sinais considera suspeitos, você pode iterar contra o modelo até projetar uma página maliciosa que o navegador aceite como legítima. Guardio demonstra que, alimentando essa informação a técnicas de aprendizagem adversário — por exemplo usando uma rede gerativa adversaria ( GAN)— é possível criar em minutos páginas de phishing que esquivam as defesas do agente.
Os pesquisadores cunharam um termo descritivo para esse fenômeno: Agentic Blabbering. A ideia é simples e poderosa: quando o agente “parlotea” sobre o que vê e vai fazer, esse parloteo é uma fonte de dados que um atacante pode usar para treinar automaticamente sua armadilha. A partir daí, o atacante não precisa convencer o usuário humano; seu objetivo é enganar o modelo que atua por milhões de usuários iguais. Guardio até mostrou como um agente comercial, neste caso o navegador Comet de Perplexity, pôde ser induzido a cair em uma fraude de phishing em menos de quatro minutos em condições laboratoriais.
Este comportamento não surge do nada: é a evolução de vetores de ataque prévio que buscavam injetar instruções em prompts ou forçar plataformas de geração a produzir páginas ou ações maliciosas. Técnicas como a “vibe-scamming” ou a utilização de injeções ocultas no conteúdo já demonstraram que os modelos que seguem instruções podem ser manipulados a partir da própria web. A diferença agora é que o adversário pode afinar sua cebo de forma offline, iterando até que a armadilha funcione de forma confiável contra um modelo concreto, e depois encaminá-la com um alto grau de sucesso contra qualquer usuário que use esse agente.
A pesquisa do Guardio não está sozinha: outras assinaturas e equipamentos têm demonstrado vetores complementares. Trail of Bits realizou uma auditoria aprofundada sobre Comet e detalha várias técnicas de injeção de prompts que permitem extrair informações privadas ao combinar pedidos legítimos do usuário com instruções controladas por um atacante a partir de sites maliciosas. Sua análise técnica está disponível no blog de Trail of Bits: Using threat modeling and prompt injection to audit Comet, e também liga a um trabalho acadêmico que explora estas injeções: prompt injection techniques (arXiv).
Zenity Labs, por sua vez, descreveu ataques de “clic zero” que permitiam exfiltrar arquivos locais ou até tentar tomar controle de cofres de senhas se o ambiente do usuário tinha extensões desbloqueadas, como 1Password. Seus posts, PerplexedComet: exfiltração de ficheiros e ataque a cofres de 1Password, explicam como vetores aparentemente inocuos, como um convite de calendário ou uma página para resumir, podem se transformar em canais de fuga quando o agente fusiona instruções legítimas e maliciosas.
Os ataques descritos baseiam-se numa limitação fundamental dos sistemas: a incapacidade confiável de separar a intenção legítima do usuário de instruções embebidas em conteúdo não confiável. Os pesquisadores chamam a isto “intent collision”, ou seja, a colisão de intenções, e ocorre quando o agente combina um pedido do usuário com comandos introduzidos por um atacante na página e executa-os sem poder distinguir de forma segura qual provém do usuário e qual do atacante.
Que implicações práticas tem tudo isso para as pessoas que navegam agora mesmo? Primeiro, o risco deixa de ser apenas pessoal: um atacante que perfeccione um exploit contra um modelo de navegador pode alcançar milhões de pessoas que usam esse mesmo agente. Segundo, as defesas tradicionais centradas em educar o usuário para que não carregue links suspeitos perdem parte de sua eficácia, porque a vítima direta do engano é o agente e não a pessoa. E terceiro, a capacidade dos atacantes de testar e otimizar suas páginas fora da linha converte estas ameaças em algo mais parecido com uma linha de produção: testes, melhoria e implantação em massa.
Isso não significa que estejamos indefensos. As mitigações propostas incluem melhorias técnicas como a detecção automática de ataques adversos, treinamento adversário dos modelos e novas salvaguardas ao nível de sistema que limitem quais ações autônomas pode executar um agente e como comunica seu raciocínio. Empresas e auditores já trabalham nessa direção; de fato, Perplexity e outros fornecedores têm corrigido e endurecido componentes após as divulgações de Trail of Bits e Zenity. Você pode rever o aviso de segurança de 1Password sobre integração com navegadores assistidos por IA em seu comunicado.
Mas há um ensino mais amplo: a introdução de capacidades autônomas requer repensar a superfície de ataque completa. Modelos que explicam seu processo de decisão devem fazê-lo de forma a não facilitarem aprendizagems iterativas a atacantes. Além disso, os fornecedores terão de combinar técnicas de engenharia de prompts, políticas de isolamento entre fontes de dados e análise de comportamento em tempo real para identificar quando um agente está sendo manipulado. OpenAI, por exemplo, destacou no passado que as vulnerabilidades deste tipo são difíceis de erradicar completamente e que a redução do risco passa por uma mistura de prevenção automatizada e design seguro do sistema (nota: os leitores podem consultar as publicações técnicas e avisos de segurança dos fabricantes para detalhes sobre abordagens e limitações).
Enquanto o setor avança em salvaguardas, o que os usuários podem fazer hoje? Manter extensões sensíveis como gestores de senhas fechadas ou bloqueadas quando não são usadas, rever com cuidado quais funções automáticas são autorizadas nos navegadores assistidos por IA e preferir ferramentas que ofereçam transparência e controles granulares sobre ações automáticas são medidas prudentes. A nível organizacional, convém auditar fluxos que deleçam decisões em agentes e estabelecer barreiras que evitem que um agente, por exemplo, escreva credenciais ou baixe arquivos sem confirmação segura.
A promessa dos navegadores agenticos é grande: poupar tempo, evitar cliques repetitivos e tornar a web mais acessível. No entanto, a pesquisa recente nos lembra que cada camada de autonomia introduz novos riscos. A segurança na era de agentes autônomos não é apenas um problema de usuários desprevenidos: é um problema de design de sistemas que devem se proteger contra adversários que aprendem do próprio comportamento desses sistemas. Entender essa dinâmica e exigir a fornecedores auditorias, transparência e atenuações eficazes será crucial para que a tecnologia cumpra as suas promessas sem se tornar uma ferramenta amplificada pelos atiradores.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...