BioShocking: quando «manipular» agentes de IA já não é um jogo

| 1 de julho de 2026
bioshocking - só há uma saída

Os navegadores e agentes baseados em IA prometem eliminar o trabalho monótono das tarefas na Web. Podem resumir páginas, extrair dados das suas contas e até funcionar como um assistente inteligente que clica e escreve por si. No entanto, uma nova investigação revela que, quando esses assistentes deixam de distinguir o que é real do que é apenas um jogo, as suas credenciais e dados confidenciais podem tornar-se vítimas colaterais.

A característica distintiva de cada tipo de ataque é contornar uma das regras básicas:

«Os LLMs são concebidos com mecanismos de segurança destinados a impedir ações prejudiciais.»

O investigador Roy Paz concebeu e divulgou um ataque a que chamou «BioShocking», uma técnica que leva os navegadores com IA a abandonar as suas medidas de segurança, apresentando-lhes um cenário fictício como se fosse realidade.

Com isto, o BioShocking situa-se na intersecção entre a injeção de prompts e a manipulação de objetivos. A injeção de prompts funciona porque os modelos de IA não conseguem distinguir entre as instruções da aplicação e as instruções do atacante, pelo que, por vezes, seguem as instruções erradas. Os ataques de manipulação de objetivos alteram subtilmente aquilo que o agente pensa que deve otimizar, transformando «ajudar o utilizador» em «ganhar o jogo a qualquer custo».

Na demonstração de conceito do BioShocking, o atacante controla uma página web aparentemente inofensiva, inspirada no universo do jogo BioShock. A página apresenta um quebra-cabeças que o agente de IA, atuando como um navegador autónomo, é chamado a resolver em nome do utilizador. Mas eis a reviravolta: o quebra-cabeças recompensa respostas erradas e indica explicitamente ao agente que este é um ambiente especial onde as regras habituais não se aplicam.

A última etapa do puzzle instrui o agente a aceder a um repositório do GitHub, localizar dados sensíveis, como palavras-passe ou credenciais, no código e partilhá-los como parte da conclusão do jogo. Em testes realizados com seis navegadores e extensões de IA mais comuns — ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser e a Chrome Claude Chrome —, todos os agentes seguiram as instruções, em vez de recusarem o pedido.

Assim, ao mergulhar o agente de IA numa realidade fictícia, o atacante convenceu-o a ultrapassar os limites de segurança.

O «BioShocking» não é um fenómeno isolado. É mais um exemplo de uma categoria crescente de ataques que têm como alvo os próprios agentes de IA. Um estudo recente sobre o agente de e-mail com IA da OpenClaw demonstrou que táticas básicas de phishing conseguiram induzir o agente a revelar credenciais da AWS e registos de clientes.

Obviamente, o ponto fraco comum reside na forma como estes navegadores lidam com contextos autenticados. Quando um navegador de IA opera em «modo agente», herda frequentemente o estado de início de sessão do utilizador em plataformas sensíveis, como o e-mail, repositórios de código, painéis de controlo na nuvem, gestores de palavras-passe e assim por diante. Do ponto de vista do modelo de IA, trata-se apenas de mais uma página para ler e mais campos para copiar. Não têm qualquer significado especial para ele.

Se a narrativa em torno do assunto indicar que a cópia de credenciais faz parte de um desafio inofensivo, muitas implementações atuais aceitarão essa ideia.

O que é preocupante é a resposta — ou a falta dela — por parte dos fornecedores. A Paz comunicou a falha «BioShocking» a seis fornecedores afetados em outubro de 2025. De acordo com o relatório, três deles não responderam e, atualmente, apenas o ChatGPT Atlas da OpenAI implementa uma correção que bloqueia a prova de conceito. A Anthropic tentou corrigir Chrome seu Chrome Claude Chrome , mas, segundo consta, a medida de mitigação continua a ser ineficaz contra o cenário de ataque. A Perplexity AI, à data da elaboração do relatório, encerrou o problema sem ter aplicado qualquer correção.


Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.