Quem faz compras de peças de hardware, assina serviços ou simplesmente movimenta dinheiro pela internet ganhou um novo aliado de peso. O Google anunciou que o Chrome agora conta com duas IAs trabalhando em conjunto para impedir que golpistas explorem falhas nas chamadas prompt injections, um dos vetores de ataque que mais crescem no ecossistema de inteligência artificial.
O que mudou no navegador?
Desde setembro de 2023, o Chrome testa um agente de navegação baseado no Gemini que pode ler páginas, clicar em botões e preencher formulários — algo tentador para quem vive logado em bancos, e-commerce (incluindo a Amazon) ou sistemas corporativos. O problema é que scripts maliciosos escondidos em páginas ou anúncios são capazes de “sussurrar” comandos para esse agente e fazê-lo executar ações não autorizadas.
Para evitar que isso vire um pesadelo financeiro, o Google introduziu o User Alignment Critic, um segundo modelo de IA isolado do conteúdo da web. Ele analisa cada ação proposta pelo Gemini “principal” e, se detectar algo que foge ao que o usuário realmente pediu, barra imediatamente a execução.
Por que dois cérebros são melhores que um?
O arranjo segue o padrão de segurança conhecido como dual-LLM. Enquanto o primeiro modelo (o “planejador”) lê a página e decide o que fazer, o segundo (o “crítico”) enxerga apenas metadados — não o conteúdo potencialmente envenenado. Assim, o invasor não consegue manipular o crítico diretamente.
Quando o crítico recusa um passo, ele devolve feedback ao planejador, que tenta reformular a estratégia. Dessa forma, o usuário vê a tarefa concluída com segurança e sem surpresas, como transferências bancárias indevidas ou vazamentos de senhas.
Camadas extras de proteção
Além do segundo modelo, o Google implementou:
- Origin sets: listas de sites dos quais o agente pode apenas ler e outros nos quais pode agir (digitar, clicar). Isso evita que uma aba aleatória envie seus dados para outra.
- Confirmação explícita: toda vez que o agente quiser abrir páginas bancárias, médicas, usar senhas salvas ou concluir compras, o usuário precisa aprovar.
- Classificador antienvenenamento: roda em paralelo, identificando tentativas de prompt injection em tempo real.
- Red team automatizado: sistemas internos que geram sites falsos cheios de armadilhas, testando o agente continuamente — inclusive em redes sociais e anúncios, os locais favoritos dos golpistas.
Qual o tamanho do problema?
Segundo a OWASP, 73% dos projetos de IA em produção em 2024 sofreram com prompt injections, tornando-se a principal vulnerabilidade da categoria. Órgãos como o National Cyber Security Centre do Reino Unido alertam que o bug pode nunca ser eliminado por completo, pois os modelos de linguagem não distinguem perfeitamente instruções de dados.
Pesquisadores já mostraram casos reais em que documentos empresariais “hipnotizaram” assistentes de IA para vazar inteligência de negócios ou contornar filtros de conteúdo. Em janeiro, um experimento fez um agente corporativo desabilitar suas próprias salvaguardas; em março, a AppOmni revelou que agentes do ServiceNow podiam ser levados a recrutar outros agentes para ações proibidas.
Imagem: Gyana Swain
Como isso afeta você — especialmente se adora tecnologia
Se você costuma importar peças de PC, comprar periféricos gamers ou gerenciar carteiras de criptomoedas pelo navegador, um agente comprometido teria o mesmo nível de acesso que você. Ele poderia confirmar pagamentos, alterar endereços de entrega ou, no pior cenário, exfiltrar códigos promocionais e dados de login que ficariam muito bem na mão de criminosos.
Com a nova arquitetura, o Chrome passa a oferecer proteção comparável ou superior à que Microsoft vem testando no Edge com o Copilot for Business. Para o consumidor, isso se traduz em confiança extra na hora de concluir aquela compra relâmpago de um mouse gamer ou daquela GPU disputada, sem medo de que um script invisível finalize o pedido no seu lugar — ou pior, esvazie sua conta.
Evolução constante
O próprio Google admite que esta é apenas a primeira versão pública do sistema. O plano é “reduzir o atrito” sem abrir mão da segurança, ajustando os filtros de origem e aprimorando o classificador de ameaças. Enquanto isso, o recurso permanece opcional e restrito a usuários que ativarem a prévia do agente.
Empresas de análise como a Gartner recomendam que corporações bloqueiem navegadores com IA até entenderem o risco, mas o usuário comum ganha cada vez mais recursos para decidir quando — e como — a inteligência artificial irá ajudá-lo nas tarefas diárias.
No fim das contas, a corrida entre atacante e defensor continua. O que muda é que, agora, o Chrome possui dois pares de olhos eletrônicos — e um deles é cético por natureza — zelando pelas suas senhas, seus dados e, claro, pelo seu carrinho de compras.
Com informações de Computerworld
