Navegadores com IA permitem injeção de prompt invisível

Pesquisadores da Brave identificaram vetores de ataque em navegadores com recursos de assistente de Inteligência Artificial (IA), confirmando preocupações sobre a injeção indireta de prompt como um desafio sistêmico para a categoria. A descoberta, detalhada em 21 de outubro de 2025, expõe uma vulnerabilidade em assistentes de navegadores que utilizam grandes modelos de linguagem (LLMs) para processar o conteúdo da tela, inclusive durante a captura de screenshot.

O problema reside na falha dos sistemas em estabelecer barreiras claras entre a entrada de dados do usuário e o conteúdo externo da web, permitindo que o texto de uma página manipule ou modifique a intenção do usuário no prompt do LLM. Essa injeção de prompt indireta permite a execução de comandos maliciosos pelo assistente do navegador com os privilégios de acesso do usuário, tornando irrelevantes proteções de segurança tradicionais como a política de mesma origem (same-origin policy).

Como o ataque de injeção invisível é realizado

O ataque ocorre quando instruções maliciosas são incorporadas em conteúdo da web de forma difícil de perceber pelo usuário, como texto quase invisível em cores muito tênues, mas que é processado como comando pela IA. A Brave conseguiu esconder instruções de injeção de prompt em imagens, utilizando texto azul-claro em fundo amarelo, tornando as instruções efetivamente escondidas do olho humano.

O ataque é desencadeado pelo usuário, que, ao iniciar a captura de screenshot de uma página com o texto malicioso camuflado, faz com que a função de reconhecimento de texto (OCR ou similar) extraia as instruções imperceptíveis. Este texto extraído é então passado ao LLM junto com a consulta do usuário, sem distinção de sua origem, permitindo que os comandos injetados instruam a IA a utilizar suas ferramentas de navegador de forma prejudicial.

As consequências de falhas em assistentes de navegador

As vulnerabilidades identificadas demonstram que a injeção de prompt indireta não é um problema isolado, mas uma fragilidade presente em diferentes implementações de navegadores com IA. Os comandos injetados podem levar o assistente a executar ações maliciosas, como navegar para sites bancários do usuário, extrair senhas armazenadas ou enviar dados sensíveis para servidores controlados por atacantes.

A vulnerabilidade exige o desenvolvimento de novas arquiteturas de segurança e privacidade para a navegação auxiliada por agentes de IA, que possuem autoridade para realizar ações poderosas em nome do usuário. A essência do problema está na incapacidade do LLM de distinguir o conteúdo não confiável do comando do usuário ao construir o prompt, uma preocupação que se estende a diferentes navegadores com funcionalidade similar, como o Comet da Perplexity.