- Ataques de prompt injection indireto exploram textos ou conteúdos web para instruir IA sem o usuário perceber, potencialmente levando a exfiltração de dados, execução de código ou redirecionamento a sites maliciosos.
- Vítimas comuns incluem chatbots, assistentes de IA e navegações baseadas em IA; instruções maliciosas podem aparecer em conteúdos web ou URLs sem exigir interação do usuário.
- Exemplos reais incluem pedidos como “ignore instruções anteriores” e variações que visam roubo de API keys, exploração de sistemas e atribuição fraudulenta de conteúdo.
- Defesas envolvem validação de entradas e saídas, controles humanos, princípio do mínimo privilégio e cheat sheets de prevenção; grandes empresas adotam testes, hardening de sistemas e monitoramento de risco.
- Dicas de segurança para usuários: limite permissões do AI, evite compartilhar dados sensíveis, desconfie de links na IA e mantenha sistemas atualizados para reduzir vulnerabilidades futuras.
O tema da inteligência artificial (IA) avançou nos últimos anos, com aplicações que vão desde mecanismos de busca até navegadores e apps móveis. O uso de modelos de linguagem amplos (LLMs) tornou-se comum, gerando ganhos em eficiência, mas também abriu espaços para novas ameaças cibernéticas. Pesquisadores já identificam casos de ataques que exploram prompts indiretos para vazar dados, executar ações não autorizadas ou levar usuários a sites maliciosos.
Especialistas destacam que esses ataques não dependem da interação do usuário no momento. Um LLM pode ler instruções maliciosas escondidas em conteúdos web e, ao processar uma página, executar ações ou exibir links prejudiciais. O risco é maior quando o AI está integrado a serviços como e-mail ou redes sociais, aumentando o potencial de exfiltração de dados ou de código prejudicial.
O que é ataque de prompt indireto
Ataques de prompt indireto ocorrem quando instruções maliciosas estão embutidas em textos, conteúdos web ou URLs. Um chatbot conectado a serviços pode ler esses prompts sem distinguir conteúdo legítimo de instruções nocivas. Técnicas comuns incluem ordens como ignore instruções anteriores e instruções de acessar endpoints sensíveis.
Exemplos práticos incluem pedidos para revelar chaves de API, instruções para contornar salvaguardas ou instruções para atribuir crédito indevido. Casos reportados demonstram que tais instruções podem levar à exfiltração de dados, desvio de comandos ou desfiguração de respostas com conteúdo enganoso.
Diferença entre ataques diretos e indiretos
Ataques diretos envolvem instruções maliciosas direcionadas ao sistema, fazendo com que o AI execute ações não previstas. Já os indiretos atuam ao explorar conteúdos consultados pelo LLM, que pode interpretar instruções ocultas sem perceber a ameaça. A consequência inclui possível exposição de dados ou violação de controles de segurança.
Relevância para a segurança de IA
A OWASP classifica ataques de prompt como uma das maiores ameaças aos aplicativos de LLM. Pesquisas apontam que tanto ataques diretos quanto indiretos podem comprometer a privacidade e a segurança, motivando esforços de proteção e atualização de práticas de defesa.
Medidas adotadas por empresas
Empresas adotam validação de entrada e saída, controles humanos, governança de privilégios e sistemas de detecção de comportamentos suspeitos. Grandes nomes da indústria, como Google, Microsoft, Anthropic e OpenAI, investem em testes de penetração, treinamentos de IA para reconhecer ameaças e defesas contínuas contra prompt injection.
Como usuários podem se proteger
Entre as medidas práticas estão limitar o acesso da IA a conteúdos externos, evitar fornecer dados sensíveis, monitorar ações atípicas e verificar links antes de clicar. Manter a IA atualizada com patches de segurança é essencial, assim como trabalhar com fontes confiáveis e revisar permissões concedidas aos sistemas de IA. A vigilância contínua ajuda a reduzir o risco de exploração de prompts indiretos.
Observação final sobre o cenário
Especialistas enfatizam que não é trivial eliminar completamente os ataques de prompt injection. A defesa depende de combinações de tecnologia, governança e educação dos usuários, com atualizações constantes à medida que novas vulnerabilidades aparecem.
Entre na conversa da comunidade