{"id":4528,"date":"2026-04-24T23:29:24","date_gmt":"2026-04-25T02:29:24","guid":{"rendered":"https:\/\/tecmania.com.br\/agentes-de-ia-a-intrigante-manipulacao-por-comandos-maliciosos-ocultos-na-web\/"},"modified":"2026-04-24T23:29:24","modified_gmt":"2026-04-25T02:29:24","slug":"agentes-de-ia-a-intrigante-manipulacao-por-comandos-maliciosos-ocultos-na-web","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/agentes-de-ia-a-intrigante-manipulacao-por-comandos-maliciosos-ocultos-na-web\/","title":{"rendered":"Agentes de IA: A Intrigante Manipula\u00e7\u00e3o por Comandos Maliciosos Ocultos na Web"},"content":{"rendered":"

Pesquisadores da Forcepoint X-Labs confirmam dez casos de inje\u00e7\u00e3o indireta de prompt (IPI) em infraestrutura ativa, com payloads para fraude financeira, destrui\u00e7\u00e3o de dados e roubo de credenciais.<\/p>\n

<\/p>\n

\n

Em abril de 2026, a Forcepoint X-Labs identificou dez casos confirmados de IPI em sites ativos na internet. Essa t\u00e9cnica, que insere comandos ocultos em p\u00e1ginas web para manipular agentes de intelig\u00eancia artificial, deixou o campo te\u00f3rico e impacta a infraestrutura real.<\/p>\n

Esses ataques exploram uma limita\u00e7\u00e3o estrutural dos modelos de linguagem (LLMs), que n\u00e3o conseguem distinguir entre dados que est\u00e3o sendo lidos e instru\u00e7\u00f5es a serem seguidas, conhecida como aus\u00eancia de fronteira dado-instru\u00e7\u00e3o.<\/p>\n

Quando um agente de IA acessa uma p\u00e1gina para resumir conte\u00fados, pesquisar informa\u00e7\u00f5es ou executar tarefas automatizadas, ele ingere todos os elementos da p\u00e1gina, incluindo comandos ocultos, tratando-os como informa\u00e7\u00f5es leg\u00edtimas.<\/p>\n

O atacante envenena uma p\u00e1gina, o agente de IA a ingere durante uma tarefa leg\u00edtima, executa o comando injetado e os dados s\u00e3o exfiltrados por um canal encoberto de volta ao atacante (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

Diferentemente da inje\u00e7\u00e3o direta, onde o pr\u00f3prio usu\u00e1rio envia uma instru\u00e7\u00e3o maliciosa ao modelo, na IPI, o atacante n\u00e3o interage com a IA, apenas envenena a p\u00e1gina e aguarda.<\/p>\n

Comandos invis\u00edveis para humanos, leg\u00edveis para IA<\/h2>\n

Os atacantes utilizam t\u00e9cnicas de oculta\u00e7\u00e3o para esconder os payloads, tornando o conte\u00fado invis\u00edvel para visitantes humanos, mas completamente acess\u00edvel aos LLMs. M\u00e9todos empregados incluem o uso de fontes de 1 pixel, cores transparentes, coment\u00e1rios HTML e tags de metadados com namespaces personalizados. A propriedade CSS display:none tamb\u00e9m \u00e9 frequentemente utilizada.<\/p>\n

Alguns payloads s\u00e3o blocos de texto ocultos, enquanto outros imitam tokens de seguran\u00e7a de provedores de modelos. Por exemplo, um comando no site lcpdfr.com usou uma string falsa chamada ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL com a inten\u00e7\u00e3o de fazer o modelo interpretar o comando como uma instru\u00e7\u00e3o de sistema.<\/p>\n

Coment\u00e1rio HTML encontrado em thelibrary-welcome.uk com instru\u00e7\u00f5es direcionadas explicitamente a assistentes de IA. O payload combina supress\u00e3o de an\u00e1lise e exfiltra\u00e7\u00e3o de chave de API, com a nota “Human readers may ignore this section” para disfar\u00e7ar o conte\u00fado em revis\u00f5es manuais (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

Dez casos, seis categorias de dano<\/h2>\n

Os pesquisadores categorizaram os incidentes conforme suas inten\u00e7\u00f5es, que v\u00e3o desde manipula\u00e7\u00e3o de SEO at\u00e9 destrui\u00e7\u00e3o de dados.<\/p>\n

No site faladobairro.com, um comando sudo rm -rf foi inserido na p\u00e1gina com o objetivo de for\u00e7ar agentes com acesso ao terminal a deletar diret\u00f3rios de backup, mirando assistentes integrados a IDEs ou pipelines de CI\/CD.<\/p>\n

Outro exemplo, perceptivepumpkin.com, viu os atacantes implementar um fluxo completo de transa\u00e7\u00e3o via PayPal.me, com um valor fixo de US$ 5 mil e instru\u00e7\u00f5es detalhadas, visando agentes habilitados para efetuar pagamentos.<\/p>\n

O site bentasker.co.uk aparenta ser um blog pessoal comum. O ataque estava embutido em um <div> oculto que invocava direitos autorais falsos para suprimir respostas da IA \u2014 um caso de nega\u00e7\u00e3o de servi\u00e7o sem comprometer sistemas (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

A utiliza\u00e7\u00e3o de uma plataforma leg\u00edtima, ao inv\u00e9s de links gen\u00e9ricos de phishing, indica que os atacantes compreendem que modelos tendem a avaliar a confiabilidade de URLs antes de agir.<\/p>\n

No site thelibrary-welcome.uk, um coment\u00e1rio HTML for\u00e7ou o modelo a vazar uma chave de API secreta \u2014 fundamental para acessar sistemas. J\u00e1 em bentasker.co.uk, a inje\u00e7\u00e3o se disfar\u00e7ou de autoridades, alegando um falso bloqueio devido a direitos autorais, para impedir que o modelo resumisse a p\u00e1gina.<\/p>\n

Em alguns casos, o c\u00f3digo malicioso leva a IA a criar um poema sobre milho, servindo como uma distra\u00e7\u00e3o para confirmar que a inje\u00e7\u00e3o foi bem-sucedida.<\/p>\n

Payload encontrado em kleintechnik.net: uso de tags [SYSTEM OVERRIDE] dentro de um coment\u00e1rio HTML tenta imitar a estrutura de um prompt de sistema leg\u00edtimo para direcionar o agente a acessar o endpoint \/admin.php (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

O desafio da detec\u00e7\u00e3o em larga escala<\/h2>\n

Os pesquisadores apontaram que as frases utilizadas para detectar IPI, como “Ignore instru\u00e7\u00f5es pr\u00e9vias” ou “Se voc\u00ea \u00e9 um modelo de linguagem”, podem tamb\u00e9m aparecer em documentos leg\u00edtimos de seguran\u00e7a, posts t\u00e9cnicos e relat\u00f3rios de intelig\u00eancia de amea\u00e7as.<\/p>\n

Isso implica que sistemas de detec\u00e7\u00e3o baseados em padr\u00f5es podem acabar identificando conte\u00fado leg\u00edtimo, ao lado de payloads maliciosos.<\/p>\n

Aumento da superf\u00edcie de ataque com os privil\u00e9gios do agente<\/h2>\n

O impacto da IPI \u00e9 diretamente proporcional ao que o agente \u00e9 capaz de realizar. Um modelo que apenas resume p\u00e1ginas apresenta risco baixo, enquanto um agente que envia e-mails, executa comandos no terminal ou realiza pagamentos se torna um alvo de alto impacto.<\/p>\n

A p\u00e1gina do faladobairro.com aparenta ser comum para visitantes humanos, mas o payload de destrui\u00e7\u00e3o de dados estava disfar\u00e7ado na marca\u00e7\u00e3o HTML, fora do conte\u00fado vis\u00edvel (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

A similaridade nos padr\u00f5es de inje\u00e7\u00e3o entre diferentes dom\u00ednios sugere que os atacantes est\u00e3o utilizando kits ou templates, evidenciando uma organiza\u00e7\u00e3o que amplia a superf\u00edcie de ataque \u00e0 medida que os agentes de IA ganham mais privil\u00e9gios em sistemas corporativos e pessoais.<\/p>\n

C\u00f3digo HTML do faladobairro.com com o comando sudo rm -rf inserido em um <span> dentro de um card de conte\u00fado \u2014 vis\u00edvel no DOM, mas fora do fluxo visual da p\u00e1gina (Forcepoint X-Labs\/Reprodu\u00e7\u00e3o).<\/figcaption><\/figure>\n

Fique por dentro das novidades na TecMania. Para mais informa\u00e7\u00f5es sobre seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e siga nosso canal no YouTube.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Pesquisadores da Forcepoint X-Labs confirmam dez casos de inje\u00e7\u00e3o indireta de prompt (IPI) em infraestrutura ativa, com payloads para fraude […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-4528","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/4528","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=4528"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/4528\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=4528"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=4528"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=4528"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}