O seu novo browser com IA pode ser um espião:
A lição sobre a falha de segurança do Perplexity Comet
A Promessa e o Perigo da Navegação Inteligente
A nova geração de “browsers de IA agêntica” – sistemas de inteligência artificial que podem atingir objetivos com supervisão limitada – chegou com uma promessa entusiasmante. Ferramentas como o Perplexity Comet prometem transformar a forma como usamos a internet: em vez de clicarmos passo a passo, podemos simplesmente dar uma ordem, como “compra isto na Amazon”, e um assistente autónomo trata de tudo.
No entanto, esta conveniência revolucionária esconde um custo de segurança significativo e, em grande parte, invisível. Uma vulnerabilidade recentemente descoberta no Comet demonstra como estes assistentes podem ser enganados, transformando-os de ajudantes úteis em potenciais espiões que expõem os nossos dados mais sensíveis.
O incidente serve como uma lição crítica para a era da IA. Revela os riscos fundamentais que surgem quando confiamos cegamente em sistemas que ainda estão a aprender a navegar num mundo digital cheio de armadilhas. Eis as quatro principais lições que devemos retirar desta falha de segurança.
1. O Problema Central: A IA Não Consegue Distinguir as Suas Ordens das de um Website Malicioso
A vulnerabilidade principal reside numa falha de segurança conhecida como injeção indireta de comandos. Explicado de forma simples, o assistente de IA do browser mistura as suas instruções diretas com conteúdo não fidedigno da página web que está a analisar. O problema é que a IA não consegue distinguir entre o seu comando legítimo e comandos escondidos que um atacante incorporou no código do site.
A demonstração realizada pela Brave, a empresa por trás do browser com o mesmo nome, ilustra este perigo de forma concreta. Imagine que pede à IA para resumir uma página web. Se essa página for maliciosa, pode conter instruções ocultas que a IA executa sem questionar. Num dos cenários testados, isto poderia dar a um atacante acesso aos seus e-mails que estivessem abertos noutro separador. Embora ainda não tenham sido observados ataques reais com esta técnica, a vulnerabilidade expõe uma falha de segurança crítica.
“A vulnerabilidade que estamos a discutir nesta publicação reside na forma como o Comet processa o conteúdo de páginas web. Quando os utilizadores lhe pedem para ‘Resumir esta página web’, o Comet alimenta uma parte da página web diretamente no seu LLM sem distinguir entre as instruções do utilizador e o conteúdo não fidedigno da página web. Isto permite que os atacantes incorporem cargas úteis de injeção indireta de comandos que a IA executará como comandos.”
2. O Ataque é Assustadoramente Simples e Realista
Para provar que este não é um risco meramente teórico, a empresa de segurança Guardio criou um cenário de teste prático que demonstra a facilidade com que a falha pode ser explorada. A simulação começa com um burlão a enviar-lhe uma mensagem falsa, fingindo ser do seu médico, com um link para supostos “resultados de análises ao sangue”.
Você, ocupado, pede ao seu assistente de IA para tratar do assunto. O agente de IA navega até à página maliciosa, que exibe o que parece ser um CAPTCHA – aqueles testes para provar que não é um robô. Mas aqui reside o truque: a página contém instruções escondidas, invisíveis para si, que dizem à IA que este é um CAPTCHA especial, “amigável para IA”, que o próprio assistente pode resolver.
Embora a página de teste fosse inofensiva, num ataque real esta ação poderia despoletar um “drive-by-download” de malware ou ser comandada para enviar e-mails com os seus dados pessoais. Com esta técnica, um atacante pode efetivamente tomar o controlo do seu assistente de IA. Conheça mais em: As cinco principais vulnerabilidades que os atacantes usam contra navegadores.
"A vulnerabilidade que estamos a discutir nesta publicação reside na forma como o Comet processa o conteúdo de páginas web"
3. Esta Falha é um Problema de Segurança Clássico com uma Nova "Roupa" de IA
Para veteranos da cibersegurança, o que torna este caso fascinante não é a novidade do ataque, mas sim a sua familiaridade. Segundo Lionel Litty, arquiteto-chefe de segurança da Menlo Security, esta vulnerabilidade de IA é, na verdade, uma manifestação moderna de um dos problemas mais antigos da área: a perigosa mistura de “código” com “dados”.
Neste contexto, o “código” são as suas instruções para a IA, e os “dados” são o conteúdo do website. A história da segurança informática mostra-nos que, sempre que um sistema não consegue separar estes dois elementos de forma rigorosa, abre-se a porta a ataques. A análise de Litty é crucial porque serve como um alerta: apesar da novidade da tecnologia, os princípios fundamentais de segurança continuam a ser não-negociáveis, e ignorá-los acarreta riscos graves.
“Como destacado no relatório da Brave, misturar código (instruções do utilizador) e dados (conteúdo da página web) é uma armadilha comum que causou muitas vulnerabilidades de segurança ao longo dos anos, desde buffer overflows a injeções de SQL. Estamos a ver que, no caso dos LLMs, a natureza do seu funcionamento significa que criar uma separação entre código e dados é uma tarefa singularmente desafiadora.”
4. As Soluções Existem, Mas a Implementação Ainda Falha
Para se defenderem contra este tipo de ataque, a Brave recomendou um conjunto de medidas de segurança rigorosas que todos os criadores de browsers com IA deveriam implementar. As salvaguardas essenciais são claras:
- Tratar todo o conteúdo do website como inerentemente não fidedigno.
- Garantir que as ações da IA correspondem à intenção do utilizador.
- Exigir confirmação explícita para ações sensíveis, como enviar um e-mail ou fazer uma compra.
- Tornar o “modo agêntico” uma escolha deliberada e explícita por parte do utilizador.
A resposta da Perplexity à divulgação ilustra a dificuldade em corrigir estes problemas. A falha foi reportada pela Brave a 25 de julho de 2024. A Perplexity implementou uma correção inicial que se revelou incompleta. A 13 de agosto, o problema parecia resolvido, mas após a divulgação pública a 20 de agosto, a Brave descobriu que o ataque ainda não tinha sido totalmente mitigado. A questão continua em aberto, o que coloca “a bola de novo no campo da Perplexity”.
Apesar da novidade da tecnologia, os princípios fundamentais de segurança continuam a ser não-negociáveis, e ignorá-los acarreta riscos graves.
Conclusão: A Pergunta que os Browsers de IA Nos Obrigam a Fazer
Os browsers de IA agêntica prometem revolucionar a forma como interagimos com o mundo digital. Contudo, a vulnerabilidade do Perplexity Comet é um sério aviso sobre os perigos de priorizar a conveniência em detrimento da segurança. Misturar instruções do utilizador com dados não fidedignos de websites é uma falha fundamental que não pode ser ignorada.
Como a Brave conclui, “à medida que os assistentes de IA ganham capacidades mais poderosas, os ataques de injeção indireta de comandos representam sérios riscos para a segurança da web.” Este incidente força-nos a refletir sobre uma questão crítica:
