A injeção de prompts é um ataque que sequestra um modelo de IA através de entradas elaboradas. Saiba como funcionam a injeção direta e indireta e como se defender.

A injeção de prompts é uma vulnerabilidade em que um atacante manipula um grande modelo de linguagem através de uma entrada cuidadosamente elaborada, levando-o a comportar-se de formas que os seus criadores nunca pretenderam. Como a maioria dos modelos processa instruções e dados em conjunto num único fluxo de texto, uma instrução maliciosa pode misturar-se com conteúdo legítimo e assumir discretamente o controlo do comportamento do modelo, levando a fuga de dados, resultados falsos ou ações não autorizadas.
O risco tornou-se central para a segurança da IA: o OWASP Top 10 para Aplicações de LLM classifica a injeção de prompts como a ameaça número um para 2025. Para profissionais de marketing, fundadores e praticantes de SEO e GEO, importa porque as mesmas páginas que um assistente de IA lê para responder a uma pergunta podem tornar-se um canal de entrega para estes ataques, o que faz da higiene do conteúdo uma preocupação de segurança, e não apenas de qualidade.
Uma vulnerabilidade de injeção de prompts ocorre quando prompts de utilizador, ou outro texto que o modelo lê, alteram o seu comportamento ou resultado de formas não pretendidas. Ao contrário de uma injeção de software tradicional que visa um interpretador, a injeção de prompts explora algo mais fundamental: o modelo trata toda a linguagem que recebe como significativa, sem separação incorporada entre instruções de confiança e dados não fidedignos.
Essa conceção é exatamente a razão pela qual o ataque funciona. Quando mistura uma instrução de sistema, um pedido de utilizador e conteúdo retirado da web num único prompt, o modelo não tem forma fiável de saber quais partes deve obedecer e quais deve apenas ler. Um atacante que controle qualquer parte desse texto pode tentar inserir comandos. Compreender isto exige uma noção básica de engenharia de prompts e de como um LLM processa a entrada.
A injeção direta de prompts, muitas vezes chamada jailbreaking, acontece quando um utilizador escreve uma instrução maliciosa diretamente no modelo. O exemplo clássico é uma anulação de instrução, como pedir ao modelo que ignore as suas instruções anteriores e revele o seu prompt de sistema oculto. Outras formas incluem jailbreaks de interpretação de papéis que levam o modelo a uma persona com menos restrições, truques de codificação que disfarçam a carga, e conversas que escalam privilégios lentamente.
A injeção direta é a forma mais comum porque o atacante simplesmente usa o campo de entrada como pretendido, só que com conteúdo hostil. O impacto vai de expor um prompt de sistema confidencial a contornar regras de segurança, razão pela qual se enquadra diretamente em preocupações mais amplas de segurança da IA.
A injeção indireta de prompts é mais perigosa e mais difícil de detetar. Aqui, o atacante esconde instruções dentro de conteúdo externo que o modelo irá ler mais tarde: uma página web, um PDF, um email, a descrição de uma ferramenta ou um ficheiro de configuração. Quando a IA processa esse conteúdo envenenado, não consegue distinguir de forma fiável entre informação e comandos embutidos, por isso a instrução oculta ativa-se sem que o utilizador a chegue a ver.
O perigo escala porque uma única fonte envenenada pode comprometer todos os que pedirem a uma IA que a processe. Um caso documentado envolveu o navegador Perplexity Comet, em que investigadores plantaram texto invisível numa publicação de fórum que enganou o assistente, levando-o a divulgar a palavra-passe de utilização única de um utilizador para o servidor de um atacante. À medida que os sistemas de IA puxam de mais fontes através da geração aumentada por recuperação, a superfície de ataque cresce com eles.
A maioria dos ataques segue uma lógica simples: encontrar um local onde o modelo ingere texto, e depois colocar aí uma instrução que entra em conflito com o objetivo real do modelo. Para ataques diretos, esse local é a caixa de conversa. Para ataques indiretos, é qualquer conteúdo que o sistema consome automaticamente sem o tratar como potencialmente hostil, aquilo a que as equipas de segurança chamam superfície de ingestão.
A própria carga pode ser simples ou oculta, já que o modelo não precisa de formatação legível por humanos para a interpretar. As instruções podem estar em texto branco, em metadados, em atributos alt, ou enterradas num documento longo. Uma vez lidas, podem pedir ao modelo que exfiltre dados, reescreva uma resposta ou invoque uma ferramenta ligada, razão pela qual as consequências dependem muito do que o modelo está autorizado a fazer.
Os impactos são graves. Uma injeção bem-sucedida pode levar à divulgação de informação sensível, incluindo dados pessoais e o próprio prompt de sistema, a acesso não autorizado a dados, a escalada de privilégios, a resultados enviesados ou incorretos e, em sistemas ligados, à execução arbitrária de comandos. Quando o modelo consegue agir, e não apenas responder, uma instrução injetada pode desencadear consequências no mundo real.
O risco multiplica-se com a autonomia. Uma configuração de agentes de IA que navega, lê ficheiros e invoca ferramentas pode ser conduzida por instruções ocultas a tomar ações prejudiciais em nome do utilizador. Ecossistemas de ferramentas como o Model Context Protocol acrescentam poder mas também novas superfícies de ingestão, como as descrições de ferramentas, que os atacantes podem tentar envenenar.
A OWASP classifica a injeção de prompts em primeiro lugar porque é inerente à forma como a IA generativa processa a linguagem, e não um bug que um único patch consiga fechar. A organização nota que não é claro se existe alguma prevenção infalível, dada a natureza estocástica destes modelos. Por outras palavras, a vulnerabilidade reside na conceção fundamental de sistemas que recebem instruções em linguagem natural.
A injeção indireta torna a classificação ainda mais justificada, porque escala. Um único documento, página ou email pode transportar um ataque que chega a todos os utilizadores cujo assistente o ler. Essa combinação de ser, em princípio, incorrigível e, na prática, amplamente explorável é a razão pela qual os defensores a tratam como uma prioridade máxima e não como um caso marginal.
Não há solução única, por isso a defesa é em camadas. Restrinja o modelo com instruções de papel claras e valide rigorosamente o formato do seu resultado. Segregue e rotule claramente o conteúdo externo para que o sistema distinga instruções de confiança de dados não fidedignos, e aplique filtragem de entrada e de saída. Imponha acesso de menor privilégio para que o modelo só possa tocar naquilo de que realmente precisa, e exija aprovação humana para ações de alto risco.
Para além do modelo, a defesa é arquitetónica: valide as invocações de ferramentas antes da execução, monitorize anomalias de comportamento, e execute testes adversariais regulares para encontrar fraquezas antes dos atacantes. Para os editores, a conclusão prática é manter o seu próprio conteúdo limpo. Sanear o conteúdo gerado por utilizadores e proteger o seu site faz parte da segurança da marca em IA, protegendo tanto os seus visitantes como os assistentes que leem as suas páginas.
O desafio central é que a injeção de prompts não pode ser totalmente eliminada com as conceções atuais de modelo, apenas mitigada. Os filtros reduzem o risco mas podem ser contornados por formulações ou codificações novas, e uma filtragem demasiado agressiva pode quebrar o uso legítimo. Isto deixa as equipas a gerir o risco residual em vez de o eliminar.
A deteção também é difícil, sobretudo para os ataques indiretos que se escondem em conteúdo que os utilizadores nunca inspecionam. Os sistemas de memória podem até perpetuar um envenenamento entre sessões, por isso uma única injeção bem-sucedida pode permanecer. A postura realista é a defesa em profundidade combinada com a limitação daquilo que um modelo está autorizado a fazer, para que mesmo uma injeção bem-sucedida cause um dano limitado.
A injeção de prompts é o risco de segurança que define a era da IA porque explora a forma como os modelos leem instruções e dados como uma só coisa. Surge na forma direta, em que um utilizador fornece um prompt malicioso, e na forma indireta, em que as instruções se escondem em conteúdo que o modelo lê depois, sendo os ataques indiretos os mais perigosos e escaláveis. Não há cura completa, apenas defesas em camadas e permissões apertadas.
Para profissionais de marketing e editores, a lição é que conteúdo limpo e seguro protege os sistemas de IA que o leem. Para ir mais longe, ligue isto à segurança da IA e à segurança da marca em IA. Fontes de referência: OWASP GenAI Security Project e Lakera.
A injeção de prompts é um ataque em que um texto elaborado leva um modelo de IA a ignorar as suas instruções reais e a fazer o que o atacante quer. Como os modelos leem instruções e dados no mesmo fluxo, uma instrução maliciosa escondida na entrada do utilizador ou em conteúdo externo pode sequestrar o modelo. É classificado como o risco de segurança número um para aplicações de IA.
A injeção direta de prompts é quando um utilizador escreve uma instrução maliciosa diretamente no modelo, como dizer-lhe para ignorar o seu prompt de sistema. A injeção indireta de prompts esconde a instrução dentro de conteúdo externo que o modelo lê depois, como uma página web, um PDF ou um email. Os ataques indiretos são mais perigosos porque o utilizador nunca os vê e uma única fonte envenenada pode afetar muitas pessoas.
Sim. Se um assistente de IA ler a sua página, os atacantes que consigam injetar conteúdo nela (através de comentários, submissões de utilizadores ou elementos comprometidos) podem plantar instruções ocultas que sequestram o assistente. Manter o seu site limpo, sanear o conteúdo gerado por utilizadores e seguir uma boa higiene de segurança protege tanto os seus visitantes como os sistemas de IA que leem as suas páginas.