Pode parecer repetitivo, mas a Inteligência Artificial (IA) mudou as regras do jogo em todas as áreas, e a segurança cibernética não é exceção a essa afirmação. A tal ponto que ela pode ser um elemento-chave na prevenção e detecção de ataques cibernéticos e também uma ferramenta para impulsionar ações mal-intencionadas. Mas cuidado, há uma terceira variável: a IA pode ser enganada e servir como um vetor para comprometer as vítimas. O PromptFix é um exemplo concreto desse risco, baseado em uma técnica conhecida como prompt injection.

Basicamente, cibercriminosos inserem instruções ocultas em conteúdo aparentemente legítimo para que a IA execute determinadas ações sem o conhecimento ou a intervenção do usuário. Por exemplo, clicar em botões invisíveis que simulam verificações, fazer download de arquivos maliciosos ou interagir com links fraudulentos.

A seguir, veremos como essa técnica funciona, quais podem ser as consequências para as vítimas e como se proteger contra essa ameaça.

O que é o PromptFix?

O PromptFix é uma variante específica de injeção de prompt, projetada para enganar assistentes de IA integrados ao navegador. Por meio de instruções ocultas, ele induz a IA a interagir com sites falsos ou páginas de phishing.

O termo surge como uma evolução da técnica ClickFix, que engana os usuários para que cliquem em verificações falsas para executar ações mal-intencionadas.

Nessa nova versão, o engano não é direcionado ao ser humano, mas ao assistente de IA. O ataque se baseia na injeção de instruções ocultas (prompts) no conteúdo que a IA processa. Assim, a IA pensa que está "resolvendo" algo legítimo (por exemplo, validando um CAPTCHA), quando na verdade está executando comandos maliciosos.

Como a IA é enganada?

Para que um ataque PromptFix seja eficaz, os cibercriminosos ocultam instruções mal-intencionadas em sites comprometidos ou no conteúdo que eles controlam, inclusive em redes sociais ou plataformas públicas (comentários no Reddit, publicações no Facebook).

Algumas técnicas comuns são:

  • Ocultar instruções em um texto invisível (por exemplo, cor branca em um fundo branco) ou em comentários HTML.
  • Incorporar texto oculto em imagens, projetado para ser ignorado por humanos, mas interpretado por sistemas de IA.
  • Uso de esteganografia para ocultar informações em arquivos digitais (imagem, áudio, vídeo) sem alterar sua aparência.

Como o ataque funciona?

Quando o usuário navega em um site comprometido e usa o assistente de IA do navegador para resumir o conteúdo ou extrair os pontos principais, o modelo processa todo o texto sem distinguir entre dados e instruções. Assim, o sistema interpreta comandos ocultos como se fossem solicitações legítimas do usuário.

Isso pode levar o assistente de IA a executar ações indesejadas, como interagir com links fraudulentos ou iniciar downloads.

Importante: cenários mais críticos (como acessar contas bancárias) só seriam possíveis se o assistente de IA tivesse permissões amplas e acesso a dados confidenciais.

Possíveis consequências

Um ataque do PromptFix pode induzir a IA a:

  • Baixar arquivos maliciosos infectados por malware;
  • Clicar em botões ocultos para ignorar as etapas de validação;
  • Seguir links de phishing e expor credenciais;
  • Preencher formulários com dados armazenados (risco potencial se o agente tiver acesso ao preenchimento automático).

Como se proteger?

Como uma característica distintiva dos ataques PromptFix é a capacidade de executar ações sem a intervenção ou o conhecimento da vítima, é importante que os usuários adotem boas práticas e medidas de proteção para se prevenir. Veja algumas:

  • Não autorize ações automáticas por padrão: se a IA quiser clicar, enviar arquivos ou preencher formulários, ela deve primeiro solicitar e obter sua confirmação.
  • Limite o assistente de IA: não dê permissão à IA para navegar livremente na internet, acessar suas senhas salvas ou usar o preenchimento automático.
  • Revise imagens e arquivos antes de processá-los: como os cibercriminosos podem ocultar instruções em imagens ou arquivos, o ideal é que eles passem por um filtro que procure texto oculto ou sinais estranhos.
  • Use listas de sites confiáveis: permita que o assitente de IA interaja somente com sites que você conhece e confia. Ao se deparar com um link suspeito, ele deve bloqueá-lo e solicitar sua autorização.