A ascensão das IAs generativas como ChatGPT, Gemini e Copilot revolucionou a forma como interagimos com sistemas digitais. No entanto, essa revolução também trouxe novas ameaças cibernéticas. Uma delas é o prompt injection — um tipo de ataque capaz de enganar modelos de linguagem e fazer com que executem comandos maliciosos sem o consentimento do usuário.
Esses ataques vêm ganhando destaque entre especialistas em cibersegurança e já são classificados pela OWASP como uma das principais vulnerabilidades em Modelos de Linguagem em Grande Escala (LLMs).
O que é Prompt Injection?
Prompt injection, ou injeção de prompt, é uma vulnerabilidade que afeta diretamente os Modelos de Linguagem em Grande Escala (LLMs) — as estruturas que dão base a ferramentas de IA generativa.
Nessa ameaça, cibercriminosos exploram a incapacidade dos modelos de distinguir entre:
-
Regras originais do desenvolvedor, e
-
Comandos recebidos por meio de prompts do usuário.
Como as LLMs tratam tudo como texto em linguagem natural, elas acabam interpretando instruções maliciosas como legítimas, o que permite que hackers modifiquem o comportamento da IA e executem ações não autorizadas.
Como funcionam os ataques de Prompt Injection?
Durante o treinamento e a operação de uma IA generativa, o modelo aprende padrões de comportamento baseados em textos e instruções.O problema é que essas instruções são processadas sem um controle rígido de origem.
Com isso, um atacante pode inserir prompts maliciosos diretamente na conversa ou em conteúdos externos (como páginas da web, PDFs ou imagens) para induzir o modelo a:
-
Ignorar suas instruções originais;
-
Revelar dados sigilosos;
-
Gerar códigos maliciosos; ou
-
Executar comandos de forma remota.
Em testes recentes, a equipe de cibersegurança da Brave demonstrou como um navegador com IA integrada pode ser manipulado para enviar dados sigilosos a domínios externos — tudo por meio de um simples prompt injection.
Tipos de ataques de Prompt Injection
Os ataques podem ocorrer de várias formas. Entre as principais, destacam-se:
1. Injeção Direta
O invasor insere manualmente um prompt malicioso no campo de texto da IA.Se o modelo não filtrar a entrada corretamente, ele interpretará o código como uma regra interna e executará ações sem autorização.
2. Injeção Indireta
O atacante esconde instruções maliciosas em sites, imagens, planilhas ou documentos PDF.Ao solicitar que a IA “leia” o conteúdo, as instruções são interpretadas como comandos legítimos.
3. Injeção de Código
Aqui, a LLM é usada para gerar e executar scripts maliciosos, podendo acessar informações sigilosas, manipular sistemas e até executar ações remotas.
4. Injeção Recursiva
Ocorre em sistemas que utilizam múltiplas camadas de IAs.Um prompt malicioso injetado no primeiro modelo gera saídas contaminadas, que passam adiante novas instruções, propagando o ataque.
Ferramentas vulneráveis ao Prompt Injection
Qualquer aplicação baseada em LLM pode ser vulnerável a esse tipo de ataque, incluindo:
-
Chatbots e assistentes virtuais (como ChatGPT, Copilot e Gemini);
-
Navegadores com IA integrada (como Brave, Atlas, Comet e Fellou);
-
APIs e automações que utilizam modelos generativos em segundo plano.
O risco é ainda maior em ferramentas conectadas a bancos de dados, sistemas corporativos ou documentos sensíveis, pois o impacto de um vazamento pode ser crítico.
Principais riscos e impactos do Prompt Injection
De acordo com a OWASP Foundation, o prompt injection figura entre os vetores de ataque mais críticos para modelos de IA generativa.Entre os principais riscos estão:
• Manipulação do modelo
O atacante altera o comportamento da IA, modificando regras internas de segurança ou instruções de desenvolvedor.
• Roubo de dados sensíveis
Instruções maliciosas podem forçar a IA a expor credenciais, senhas, tokens de API e dados bancários.
• Execução de código remoto
Ataques avançados podem induzir o modelo a gerar e executar códigos, abrindo caminho para controle remoto do sistema.
• Propagação de ameaças
A IA pode ser usada como vetor para disseminar malwares, links de phishing e arquivos comprometidos.
• Vazamento de prompts internos
Um prompt injection pode fazer a IA revelar prompts de sistema ou políticas internas, facilitando futuros ataques.
Como identificar um ataque de Prompt Injection?
Alguns sinais podem indicar que você (ou seu sistema) foi alvo desse tipo de ataque:
-
Respostas desconexas ou incoerentes;
-
Execução de ações inesperadas;
-
Mudança repentina no comportamento da IA;
-
Continuação de falhas mesmo após reiniciar a aplicação.
Se notar esses sintomas, interrompa o uso imediatamente e comunique o time de segurança ou os desenvolvedores da ferramenta.
Como se proteger de um ataque de Prompt Injection
Embora o risco não possa ser eliminado por completo, algumas medidas ajudam a reduzir a exposição:
-
Evite solicitar que a IA leia links, documentos ou textos desconhecidos.
-
Não compartilhe dados sensíveis (senhas, documentos, credenciais, etc.).
-
Desconfie de prompts externos com formatação incomum ou instruções excessivas.
-
Monitore logs e entradas de prompts em aplicações corporativas.
-
Implemente filtros e validações de entrada no código de integração com LLMs.
Em ambientes corporativos, é essencial que as equipes de TI adotem camadas adicionais de segurança, como monitoramento contínuo, políticas de isolamento e auditorias de acesso.
Prompt Injection x Jailbreak: qual a diferença?
Embora relacionados, os dois ataques possuem propósitos distintos:
-
Prompt Injection: insere instruções maliciosas para que a IA execute comandos indevidos ou revele informações.
-
Jailbreak: busca contornar restrições de segurança da IA, induzindo-a a operar sem limites ou filtros éticos.
Ambos exploram a fragilidade das LLMs diante de linguagem natural, mas o prompt injection tem impacto mais direto em vazamento de dados e execução de código.
O prompt injection representa um novo capítulo na história das ameaças digitais.Com o avanço das IAs generativas e sua integração em múltiplas plataformas, a superfície de ataque aumenta exponencialmente.A conscientização dos usuários e o fortalecimento das medidas de segurança por parte das desenvolvedoras são fundamentais para mitigar riscos.
Afinal, quanto mais poderosa a IA, mais importante é proteger o que a comanda: o prompt.
