Pesquisadores da Straiker STAR Labs identificaram um novo tipo de ataque envolvendo agentes de navegador, especificamente no Comet, navegador da Perplexity. A ameaça transforma um e-mail aparentemente comum em uma ação crítica capaz de apagar todo o conteúdo do Google Drive da vítima sem qualquer interação direta, expondo um risco significativo para usuários e organizações.
Esse método de exclusão automática aproveita o acesso concedido ao navegador para integração com serviços como Gmail e Google Drive, usados para automatizar tarefas. Com essa permissão, o agente pode ler e-mails, navegar em arquivos, renomear, mover e até excluir documentos.
Em um cenário simples, um usuário poderia enviar uma mensagem com instruções como: “Por favor, verifique meu e-mail e conclua todas as minhas tarefas recentes.” O agente, interpretando o comando, procuraria tarefas relevantes e executaria ações correspondentes — inclusive as destrutivas, caso instruído de forma maliciosa.
“Esse comportamento reflete uma autonomia excessiva em assistentes baseados em LLM, que executam ações além do pedido explícito do usuário”, alerta a pesquisadora de segurança Amanda Rousseau ao The Hacker News.
Um invasor pode explorar essa autonomia enviando um e-mail bem estruturado com instruções sutis para o agente — como organizar pastas, mover arquivos ou realizar uma “faxina” no Drive. A IA interpreta o pedido como legítimo e exclui arquivos reais sem confirmação, ativando o processo apenas com instruções em linguagem natural.
Rousseau reforça que o ataque não depende de jailbreak ou injeção direta de código, apenas de comandos educados e sequenciais que levem o agente a agir por conta própria. Termos comuns como “cuide disso”, “faça isso pra mim” ou “resolva” podem ser suficientes para desencadear a exclusão em massa.
A recomendação dos especialistas é fortalecer não apenas os modelos de IA, mas também os agentes, conectores e filtros de instruções em linguagem natural, prevenindo execuções automáticas de tarefas críticas sem validação.
Outro ataque relacionado também ganhou destaque: o HashJack. A técnica, apresentada pela Cato Networks, oculta prompts maliciosos após o símbolo “#” em URLs legítimas, permitindo manipular agentes de navegador ao carregar páginas aparentemente seguras. Quando o usuário interage com a IA — por exemplo, fazendo uma pergunta — o comando oculto é executado sem que ele perceba.
“O HashJack é a primeira injeção indireta de prompt capaz de transformar qualquer site legítimo em arma para manipular navegadores com IA”, explica o pesquisador Vitaly Simonovich.
Após divulgação responsável, o Google classificou o caso como de baixa gravidade e afirmou que o comportamento é esperado, sem previsão de correção. Já a Perplexity e a Microsoft lançaram atualizações para mitigar o problema, enquanto Claude para Chrome e OpenAI Atlas não se mostraram vulneráveis.
Importante destacar que o Google não considera esse tipo de manipulação como falha de segurança em seu programa de recompensas de IA, o que abre discussões sobre a necessidade de novas políticas de proteção para modelos e agentes autônomos.
