BioShocking: quando “enganar” agentes de IA não é mais um jogo

| 1º de julho de 2026
bioshocking - só há uma saída

Navegadores e agentes baseados em IA prometem eliminar o trabalho repetitivo das tarefas na web. Eles podem resumir páginas, extrair dados de suas contas e até mesmo atuar como um assistente inteligente que clica e digita por você. Mas uma nova pesquisa mostra que, quando esses assistentes perdem a noção do que é real e do que é apenas um jogo, suas credenciais e dados confidenciais podem se tornar vítimas colaterais.

A característica principal de cada tipo de ataque é contornar uma das regras básicas:

“Os LLMs são projetados com medidas de segurança destinadas a impedir ações prejudiciais.”

O pesquisador Roy Paz desenvolveu e divulgou um ataque que ele chama de “BioShocking”, uma técnica que convence navegadores baseados em IA a abandonar suas medidas de segurança, apresentando-lhes um cenário fictício como se fosse realidade.

Com isso, o BioShocking situa-se na interseção entre a injeção de prompts e a manipulação de objetivos. A injeção de prompts funciona porque os modelos de IA não conseguem distinguir entre as instruções do aplicativo e as do invasor, de modo que, às vezes, seguem as instruções erradas. Os ataques de manipulação de objetivos alteram sutilmente o que o agente acredita que deve otimizar, transformando “ajudar o usuário” em “vencer o jogo a qualquer custo”.

Na demonstração de conceito do BioShocking, o invasor controla uma página da web aparentemente inofensiva, com temática baseada no universo do jogo BioShock. A página apresenta um quebra-cabeça que o agente de IA, atuando como um navegador autônomo, deve resolver em nome do usuário. Mas eis a reviravolta: o quebra-cabeça recompensa respostas erradas e informa explicitamente ao agente que este é um ambiente especial, onde as regras habituais não se aplicam.

A última etapa do quebra-cabeça instrui o agente a acessar um repositório do GitHub, localizar dados confidenciais, como senhas ou credenciais, no código e compartilhá-los como parte da conclusão do jogo. Em testes realizados com seis navegadores e plug-ins de IA mais populares — ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser e a Chrome Claude Chrome —, todos os agentes seguiram as instruções, em vez de recusarem a solicitação.

Assim, ao imergir o agente de IA em uma realidade fictícia, o invasor o convenceu a ultrapassar os limites de segurança.

O “BioShocking” não é um fenômeno isolado. É mais um exemplo de uma categoria crescente de ataques que têm como alvo os próprios agentes de IA. Um estudo recente sobre o agente de e-mail com IA da OpenClaw demonstrou que táticas básicas de phishing foram capazes de induzir o agente a vazar credenciais da AWS e registros de clientes.

Obviamente, o ponto fraco comum é a forma como esses navegadores lidam com contextos autenticados. Quando um navegador de IA opera no “modo agente”, ele frequentemente herda o estado de login do usuário em plataformas sensíveis, como e-mail, repositórios de código, painéis de controle na nuvem, gerenciadores de senhas e assim por diante. Da perspectiva do modelo de IA, essas são apenas mais uma página para ler e mais campos para copiar. Elas não têm nenhum significado especial para ele.

Se a narrativa em torno disso indicar que copiar credenciais faz parte de um desafio inofensivo, muitas implementações atuais aceitarão essa ideia.

O que é preocupante é a resposta — ou a falta dela — por parte dos fornecedores. A Paz comunicou a vulnerabilidade “BioShocking” a seis fornecedores afetados em outubro de 2025. De acordo com o relatório, três deles não responderam, e apenas o ChatGPT Atlas, da OpenAI, implementa atualmente uma correção que bloqueia a prova de conceito. A Anthropic tentou corrigir seu Chrome Claude Chrome , mas, segundo relatos, a medida de mitigação continua ineficaz contra o cenário de ataque. A Perplexity AI, até o momento da elaboração deste relatório, encerrou a questão sem oferecer uma solução.


Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.