Injeção de prompt: a ameaça que permite manipular IAs para revelar dados sensíveis

Em maio de 2025, pesquisadores da Invariant Labs (uma empresa de programação) descobriram uma falha crítica na integração oficial do GitHub, um dos maiores repositórios online de códigos do mundo. Essa falha explorava os problemas abertos, que basicamente são tarefas que os desenvolvedores anotam para que eles ou outra pessoa resolvam depois. Por exemplo: “O botão de login não funciona” seria um problema aberto.

Funcionava assim: bandidos poderiam criar problemas abertos falsos, que secretamente conteriam códigos maliciosos. Quando um assistente de IA acessasse esses problemas a pedido de um usuário, ele acaba executando esses comandos, que têm o objetivo de roubar dados confidenciais.

A maioria dos usuários acessa o GitHub por meio de Tokens de Acesso Pessoal (PAT). Esses tokens concedem acesso a uma miríade de dados do usuário: projetos pessoais, informações da empresa, códigos, senhas, etc. Com isso, a receita do golpe estava completa: o usuário acessava o GitHub por meio do PAT, pedia à IA para checar os problemas abertos, a IA executava o comando malicioso escondido nesses problemas e, com os acessos concedidos pelo PAT, encontrava e repassava as informações privadas.

O problema resumido em passos:

• O usuário pede à IA uma tarefa inocente: “Liste todos os problemas abertos do GitHub”

• A IA faz a busca e encontra os problemas legítimos, mas também os que contêm instruções maliciosas

• Com acesso total ao repositório do usuário, a IA segue as ordens, extraindo documentos confidenciais, informações pessoais e afins

A moral da história é: com essa falha, bandidos poderiam encher o GitHub com esses códigos maliciosos e usá-los para roubar dados de milhões de usuários. Como a falha foi detectada pela Invariant Labs, medidas foram adotadas para prevenir esse tipo de ataque.

Esse caso é exemplo de um crime que está cada vez mais em alta: a injeção de prompt.

Usando o ChatGPT para roubar dados de empresas e pessoas

Injeção de prompt é quando alguém escreve comandos maliciosos de forma que uma IA (como o ChatGPT, o DeepSeek e o Gemini) execute instruções que não deveriam ser executadas, muitas vezes sem o usuário perceber.

Recentemente, um estudo conjunto entre a Universidade de Melbourne (Austrália), a Universidade de Singapura e a Universidade de Ciência e Tecnologia de Wuhan (China) testou 70 técnicas diferentes de injeção de prompt e descobriu que esses ataques chegam a conseguir 84% de sucesso em executar comandos maliciosos. Pior: “esses ataques são comprovadamente eficazes em uma ampla gama de objetivos, desde acesso inicial e descoberta de sistemas até roubo de credenciais e exfiltração de dados”.

E aí você pensa: o GitHub tem 36 milhões de usuários ativos e sua dona é ninguém menos que a Microsoft. Já imaginou o prejuízo? E a própria Microsoft admite que a injeção de prompt indireto é uma das técnicas mais usadas relacionadas a vulnerabilidades de IA.

Só que não é só no mundo da programação que as injeções de prompt acontecem. Em julho, foi descoberta uma falha do ChatGPT que permitiria obter chaves de produto do Windows ilegalmente. Não houve hackeamento nenhum: apenas o uso criativo de prompts dentro da interface comum do programa de IA.

Fonte: Superinteressante