Navegadores da web agentes que aproveitam os recursos de inteligência artificial (IA) para executar ações de forma autônoma em vários sites em nome de um usuário podem ser treinados e enganados para se tornarem vítimas de armadilhas de phishing e fraudes.
O ataque, em sua essência, aproveita a tendência dos navegadores de IA de raciocinar suas ações e usá-las contra o próprio modelo para diminuir suas proteções de segurança, Guardio disse em um relatório compartilhado com The Hacker News antes da publicação.
“A IA agora opera em tempo real, dentro de páginas confusas e dinâmicas, enquanto continuamente solicita informações, toma decisões e narra suas ações ao longo do caminho. Bem, ‘narrar’ é um eufemismo – é tagarelice e demais!”, disse o pesquisador de segurança Shaked Chen.
“Isso é o que chamamos Tagarelice Agente: o navegador AI expondo o que vê, o que acredita que está acontecendo, o que planeja fazer a seguir e quais sinais considera suspeitos ou seguros.”
Ao interceptar esse tráfego entre o navegador e os serviços de IA em execução nos servidores do fornecedor e alimentá-lo como entrada para uma Rede Adversarial Generativa (NO ENTANTO), Guardio disse que foi capaz de fazer com que o navegador Comet AI da Perplexity fosse vítima de um golpe de phishing em menos de quatro minutos.
“Se você puder observar o que o agente sinaliza como suspeito, hesita e, mais importante, o que ele pensa e tagarela sobre a página, você pode usar isso como um sinal de treinamento”, explicou Chen. “O golpe evolui até que o navegador de IA caia de forma confiável na armadilha que outra IA preparou para ele.”
A ideia, em poucas palavras, é construir uma “máquina fraudulenta” que otimize e regenere iterativamente uma página de phishing até que o navegador agente pare de reclamar e prossiga para cumprir as ordens do agente da ameaça, como inserir as credenciais da vítima em uma página web falsa projetada para realizar um golpe de reembolso.
O que torna esse ataque interessante e perigoso é que, uma vez que o fraudador itera em uma página da web até funcionar contra um navegador de IA específico, ele funciona em todos os usuários que dependem do mesmo agente. Em outras palavras, o alvo mudou do usuário humano para o navegador de IA.
“Isso revela o infeliz futuro próximo que enfrentamos: os golpes não serão apenas lançados e ajustados, eles serão treinados off-line, contra o modelo exato em que milhões de pessoas confiam, até que funcionem perfeitamente no primeiro contato”, disse Guardio. “Porque quando o seu navegador AI explica por que parou, ele ensina aos invasores como contorná-lo.”
A divulgação vem como Trail of Bits demonstrado quatro técnicas de injeção imediata contra o navegador Comet para extrair informações privadas dos usuários de serviços como o Gmail, explorando o assistente de IA do navegador e exfiltrando os dados para o servidor de um invasor quando o usuário pede para resumir uma página da web sob seu controle.
Na semana passada, o Zenity Labs também detalhou dois ataques de clique zero que afetam o Comet da Perplexity que usam injeção indireta de prompt semeada em convites de reuniões para exfiltrar arquivos locais para um servidor externo (também conhecido como Cometa perplexo) ou sequestrar a conta 1Password de um usuário se o extensão do gerenciador de senhas está instalado e desbloqueado. Os problemas, codinomes coletivos de PerplexedBrowser, já foram resolvidos pela empresa de IA.
Isso é conseguido por meio de uma técnica de injeção imediata conhecida como colisão intencional, que ocorre “quando o agente mescla uma solicitação benigna do usuário com instruções controladas pelo invasor de dados da web não confiáveis em um único plano de execução, sem uma maneira confiável de distinguir entre os dois”, disse o pesquisador de segurança Stav Cohen.
Os ataques de injeção imediata continuam sendo um desafio fundamental de segurança para grandes modelos de linguagem (LLMs) e para integrá-los aos fluxos de trabalho organizacionais, principalmente porque a eliminação completa dessas vulnerabilidades pode não ser viável. Em dezembro de 2025, a OpenAI observou que “é improvável que tais fraquezas sejam totalmente resolvidas em navegadores agentes, embora os riscos associados possam ser reduzidos por meio da descoberta automatizada de ataques, treinamento adversário e novas salvaguardas no nível do sistema.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.