Páginas Web Maliciosas Estão Sequestrando Agentes de IA, E Algumas Estão Visando o Seu PayPal

Resumo

• O Google documentou um aumento de 32% em ataques de injeção de prompts indiretos maliciosos entre novembro de 2025 e fevereiro de 2026, direcionados a agentes de IA que navegam na web.
• Os payloads reais encontrados na natureza incluíam instruções de transação PayPal totalmente especificadas embutidas invisivelmente em HTML comum, destinadas a agentes com capacidades de pagamento.
• Atualmente, nenhum quadro legal determina a responsabilidade quando um agente de IA com credenciais legítimas executa um comando plantado por um site malicioso de terceiros.

Os atacantes estão silenciosamente armando páginas web com instruções invisíveis projetadas para agentes de IA, não para leitores humanos. E, de acordo com a equipe de segurança do Google, o problema está crescendo rapidamente. Em um relatório publicado em 23 de abril, os pesquisadores do Google Thomas Brunner, Yu-Han Liu e Moni Pande analisaram de 2 a 3 bilhões de páginas web rastreadas por mês procurando por ataques de injeção de prompts indiretos—comandos ocultos embutidos em sites que aguardam que um agente de IA os leia e depois siga as ordens. Eles encontraram um aumento de 32% nos casos maliciosos entre novembro de 2025 e fevereiro de 2026. Os atacantes embutem instruções em uma página web de maneiras invisíveis para os humanos: texto reduzido a um único pixel, texto quase transparente, conteúdo escondido em seções de comentários HTML ou comandos enterrados nos metadados da página. A IA lê o HTML completo. O humano não vê nada.

A maior parte do que o Google encontrou era de baixa gravidade—brincadeiras, manipulação de motores de busca, tentativas de impedir que agentes de IA resumam conteúdo. Por exemplo, havia alguns prompts que tentaram dizer à IA para “Tuitar como um pássaro.” Mas os casos perigosos são uma história diferente. Um caso instruía o LLM a retornar o endereço IP do usuário junto com suas senhas. Outro tentou manipular a IA para executar um comando que formata a máquina dos usuários de IA.

Mas outros casos estão na fronteira do criminoso.

Pesquisadores da empresa de cibersegurança Forcepoint publicaram um relatório quase simultaneamente, e encontraram payloads que iam além. Um embutia uma transação PayPal totalmente especificada com instruções passo a passo direcionadas a agentes de IA com capacidades de pagamento integradas, também usando a famosa técnica de jailbreak “ignore todas as instruções anteriores”.

Um segundo ataque usou uma técnica chamada “injeção de namespace de meta tag” combinada com uma palavra-chave de amplificação de persuasão para direcionar pagamentos mediadas por IA para um link de doação Stripe. Um terceiro parecia projetado para sondar quais sistemas de IA são realmente vulneráveis—reconhecimento antes de um ataque maior. Este é o núcleo do risco empresarial. Um agente de IA com credenciais legítimas de pagamento, executando uma transação que lê de um site, produz logs que parecem idênticos às operações normais. Não há login anômalo. Nenhum ataque de força bruta. O agente fez exatamente o que foi autorizado a fazer—ele apenas recebeu suas instruções da fonte errada. O ataque CopyPasta documentado em setembro passado mostrou como injeções de prompts poderiam se espalhar por ferramentas de desenvolvedor escondidas dentro de arquivos “readme”. A variante financeira é o mesmo conceito aplicado ao dinheiro em vez de código—e com impacto muito maior por sucesso. Como explica a Forcepoint, uma IA de navegador que só consegue resumir conteúdo é de baixo risco. Uma IA com capacidade de enviar e-mails, executar comandos no terminal ou processar pagamentos é uma categoria de alvo completamente diferente. A superfície de ataque escala com o privilégio.  Nem o Google nem a Forcepoint encontraram evidências de campanhas sofisticadas e coordenadas. A Forcepoint observou que modelos de injeção compartilhados entre múltiplos domínios “sugerem ferramentas organizadas ao invés de experimentação isolada”—o que significa que alguém está construindo infraestrutura para isso, mesmo que ainda não a tenha implantado completamente.

Mas o Google foi mais direto: A equipe de pesquisa afirmou que espera que tanto a escala quanto a sofisticação dos ataques de injeção de prompts indiretos cresçam no futuro próximo. Os pesquisadores da Forcepoint alertam que a janela para se antecipar a essa ameaça está se fechando rapidamente. A questão da responsabilidade é aquela que ninguém respondeu ainda. Quando um agente de IA com credenciais aprovadas pela empresa lê uma página web maliciosa e inicia uma transferência fraudulenta pelo PayPal, quem é o responsável? A empresa que implantou o agente? O provedor do modelo cuja sistema seguiu a instrução injetada? O proprietário do site que hospedou o payload, consciente ou não? Atualmente, não há quadro legal que cubra isso. É uma área cinzenta, mesmo que o cenário não seja mais teórico, já que o Google encontrou os payloads na natureza em fevereiro passado. O Projeto de Segurança de Aplicações Mundial Aberto classifica a injeção de prompts como LLM01:2025—a vulnerabilidade mais crítica em aplicações de IA. O FBI rastreou quase $900 milhões em perdas relacionadas a golpes de IA em 2025, seu primeiro ano registrando a categoria separadamente. As descobertas do Google sugerem que os ataques financeiros mais direcionados e específicos a agentes estão apenas começando. O aumento de 32% medido entre novembro de 2025 e fevereiro de 2026 cobre apenas páginas públicas estáticas. Conteúdos de redes sociais, conteúdos protegidos por login e sites dinâmicos estavam fora do escopo. A taxa real de infecção em toda a web provavelmente é maior.