Pesquisadores da LayerX Security revelaram em junho de 2026 uma técnica de ataque chamada BioShocking que manipula navegadores com inteligência artificial embutida para contornar salvaguardas de segurança e roubar credenciais de usuários. O método funcionou contra seis produtos de grandes empresas — incluindo OpenAI, Anthropic e Perplexity — e apenas um deles aplicou correção eficaz até agora. O ataque não explora falhas de código. Ele distorce o contexto em que o agente de IA opera, fazendo com que trate o roubo de dados como parte de um jogo.

O que é o ataque BioShocking

BioShocking recebeu esse nome por analogia ao videogame BioShock, no qual um personagem é manipulado por uma frase-gatilho — “Would you kindly?” — e executa ações que normalmente recusaria. O mecanismo do ataque segue a mesma lógica: convencer um agente de IA de que as regras normais não se aplicam e, a partir daí, direcioná-lo para executar tarefas que violam a segurança do usuário.

É um caso de injeção indireta de prompt. O usuário acessa uma página web que parece inofensiva — no proof-of-concept da LayerX, um quebra-cabeça temático de BioShock — e pede ao navegador com IA para interagir com o ambiente. O problema é que a página e as instruções do usuário chegam ao agente como um único fluxo de texto, e o agente não distingue com confiabilidade qual parte vem de onde.

Como o ataque funciona na prática

O quebra-cabeça apresenta uma equação simples — 2 + 2 = ? — mas recompensa respostas erradas. O valor correto dentro do jogo é 5. Conforme o agente aceita que “errado” é “vitorioso”, ele abandona a lógica do mundo real e passa a seguir a lógica fabricada pela página. Nesse ponto, o atacante já controla o raciocínio do agente.

A etapa final do jogo pede que o agente visite um repositório no GitHub e copie dados presentes em um arquivo. No teste, o repositório continha um arquivo de texto simples com credenciais SSH. O agente acessou, leu e entregou as credenciais ao atacante sem acionar nenhum alerta de segurança. Depois, ainda relatou a ação como uma vitória no jogo.

A LayerX usou um arquivo inofensivo de texto puro na demonstração, mas o mesmo mecanismo pode apontar o agente para qualquer recurso acessível na sessão: abas abertas, contas autenticadas, gerenciadores de senha e ferramentas internas da empresa. Um atacante real não precisa de uma vulnerabilidade técnica complexa. Basta que o usuário esteja logado em algum sistema enquanto o navegador opera em modo agente.

Seis produtos testados, uma correção

A LayerX conduziu provas de conceito contra seis navegadores e plugins com IA. Todos falharam em identificar o roubo de credenciais como uma violação durante os testes. Os produtos afetados e as respostas dos fornecedores foram:

Produto Fornecedor Resultado
ChatGPT Atlas OpenAI Corrigido após notificação
Comet Perplexity AI Relatório fechado sem correção
Claude (Chrome plugin) Anthropic Tentativa de correção, mas ineficaz
Fellou Fellou Sem resposta
Genspark Browser Genspark Sem resposta
Sigma Browser Sigma Sem resposta

A empresa notificou todos os fornecedores entre outubro de 2025 e janeiro de 2026, de acordo com a BleepingComputer. O resultado é desanimador: cinco dos seis produtos permanecem vulneráveis na data de publicação desta matéria.

Por que guardrails tradicionais falham

Mecanismos de proteção dos navegadores com IA — os chamados guardrails — foram projetados para identificar comandos maliciosos explícitos, como “roube minhas senhas” ou “acesse esse repositório privado”. Quando o agente opera dentro de uma lógica de jogo fabricada, esses guardrails não reconhecem a ação como ameaça. A instrução para copiar credenciais parece, para o agente, uma tarefa legítima dentro do contexto apresentado.

A dependência excessiva do contexto fornecido pelo ambiente para a tomada de decisões de segurança é a falha estrutural que a LayerX identificou. O agente confia no que vê e processa, sem questionar se o contexto em si foi adulterado. Isso difere de explorações tradicionais de software, onde a falha está no código. Aqui, a falha está na arquitetura de raciocínio do modelo.

A superfície de ataque expandida

Navegadores agênticos não são ferramentas isoladas. Eles têm acesso privilegiado a repositórios de código, e-mails corporativos, gerenciadores de senha e sistemas autenticados. Quando um agente é comprometido, o atacante herda esse acesso completo — sem precisar de phishing adicional, sem exploração de vulnerabilidade zero-day, sem malware.

Os dados do Browser Security Report 2025 da própria LayerX contextualizam o problema. Quase metade dos colaboradores de empresas já utiliza ferramentas de IA generativa no trabalho, e plataformas de IA representam cerca de 11% de toda a atividade SaaS corporativa. Segundo a DeepStrike, 87% das organizações relataram ter sofrido um ataque cibernético baseado em IA no último ano. Já o Cisco Cybersecurity Readiness Index 2025 aponta que 78% dos CISOs afirmam que ameaças potencializadas por IA têm impacto significativo em suas operações.

Como se proteger agora

Para usuários, a recomendação da LayerX é direta: trate o modo agente com cautela. Tudo em que você está logado é acessível ao navegador com IA, então decida quais serviços ele pode ver e revogue esse acesso quando terminar a tarefa.

Para equipes de segurança corporativa, a resposta não pode esperar pela boa vontade dos fornecedores. As medidas incluem mapear quais serviços autenticados cada navegador com IA pode acessar, aplicar o princípio do menor privilégio, e monitorar sessões de agentes para detectar transferências de dados para destinos externos. Um navegador com IA em modo agente é, na prática, uma conta adicional com alcance sobre os sistemas da empresa — e deve receber o nível de controle correspondente.

A LayerX recomenda ainda três medidas aos fabricantes: exigir confirmação explícita do usuário antes de acessar dados em contas autenticadas, sinalizar quando o agente opera em contextos logicamente inconsistentes, e limitar o escopo de ação dos agentes por padrão. Uma única pergunta como “Estou prestes a copiar dados do seu repositório. Continuar?” bastaria para interromper a cadeia de ataque.

Leia também

Referências