Nos últimos dois anos, as empresas têm tentado encaixar grandes modelos de linguagem (LLMs) em suporte, análise, desenvolvimento e automação interna como nunca antes.
Juntamente com a crescente adoção da tecnologia de IA, outra tendência está ganhando força: os cibercriminosos estão aproveitando a desconexão entre as suposições sobre os LLMs e suas características reais.
Em 2025 e 2026, várias fontes independentes destacaram a mesma tendência: a injeção imediata continua a ser um dos vetores de ataque mais impactantes e amplamente demonstrados contra sistemas LLM. O OWASP LLM Top 10 (2025) lista a injeção imediata como LLM01, identificando-a como a categoria mais crítica de vulnerabilidades específicas do LLM, pela segunda edição consecutiva. A classificação da OWASP reflete o fato de que os LLMs ainda lutam para separar de forma confiável as instruções dos dados, tornando-os suscetíveis à manipulação por meio de entradas elaboradas.
O Relatório Global de Ameaças de 2026 da CrowdStrike – baseado em inteligência de linha de frente de mais de 280 adversários rastreados – documentou que os agentes de ameaças injetaram avisos maliciosos em ferramentas legítimas de IA generativa em mais de 90 organizações em 2025. Eles então usaram essas injeções para gerar comandos que roubaram credenciais e criptomoedas. O relatório afirmou isso claramente: "Os prompts são o novo malware." Os adversários habilitados para IA aumentaram seu volume geral de ataques em 89% ano após ano, com a injeção imediata funcionando tanto como um ponto de entrada quanto como um multiplicador de força.
Os incidentes do mundo real ilustram o impacto operacional. Em agosto de 2024, pesquisadores da PromptArmor divulgaram uma vulnerabilidade de injeção imediata no Slack AI que permitia a um invasor exfiltrar dados de canais privados do Slack aos quais não tinha acesso – incluindo chaves de API compartilhadas em canais privados de desenvolvedores – colocando uma instrução maliciosa em um canal público ou incorporando-a em um documento carregado.
Em junho de 2025, pesquisadores da Aim Security divulgaram o EchoLeak (CVE-2025-32711, CVSS 9.3), a primeira exploração documentada de injeção imediata de clique zero em um sistema de IA de produção, visando o Microsoft 365 Copilot. Ao enviar um único e-mail elaborado, sem necessidade de interação do usuário, um invasor pode fazer com que o Copilot acesse arquivos internos e transmita seu conteúdo para um servidor controlado pelo invasor.
Ambas as vulnerabilidades foram corrigidas. Estes incidentes sublinham o facto de que a injeção imediata não é uma fraqueza teórica, mas uma ameaça prática e repetível que as organizações devem enfrentar à medida que implementam sistemas de IA em grande escala.
As técnicas de injeção de prompt passaram por grandes evoluções nos últimos anos, agora visando arquitetura multiagente, pipelines de geração aumentada de recuperação (RAG), roteadores modelo e recursos de memória de longo prazo.
O edesafio empresarial: muita confiança
As empresas implantam LLMs para processar instruções, resumir informações e acionar fluxos de trabalho automatizados, mas é difícil para os LLMs saber:
-
EUinstruções de dados
-
EUinformação do contexto
-
Context de metadados
-
Vocêintenção de ser de metadados
Isto cria uma oportunidade para os invasores manipularem e influenciarem o comportamento do modelo, direta ou indiretamente.
Injeção imediata moderna
Injeção imediata entre modelos
O uso do LLM é uma prática comum entre as empresas. Os invasores corrompem a saída de um modelo específico, sabendo muito bem que outros modelos estariam processando o conteúdo. Conseqüentemente, a corrupção se propaga por todos os sistemas de IA.
Envenenamento da cadeia de suprimentos RAG
UMinvasores criam informações maliciosas – documentação, artigos de blog, READMEs do GitHub. Em seguida, eles esperam até que essas informações maliciosas sejam ingeridas nos pipelines RAG das empresas e então as utilizam como vetor de ataque.
Sequestro de agente
Os agentes de IA evoluíram a ponto de poderem enviar e-mails, modificar a infraestrutura em nuvem, executar trechos de código e interagir com sistemas corporativos internos. Basta uma única instrução para fazer com que os agentes atuem de maneira diferente e prejudicial.
Ataques de estouro de contexto
Com a ajuda de janelas de contexto de milhões de tokens, os invasores colocam código malicioso no documento e esperam que um LLM o encontre e o execute, substituindo assim todas as instruções anteriores.
Envenenamento de memória
Devido à implementação de memória de longo prazo em LLMs, os invasores podem injetar instruções que reconfiguram permanentemente seu estado.
Manipulação do roteador modelo
As empresas usam cada vez mais roteadores modelo para selecionar entre vários LLMs. Os invasores criam avisos que forçam o roteamento para o modelo mais fraco ou menos protegido.
Por que isso é importante para os líderes empresariais
A injeção imediata não é um problema teórico. Afeta diretamente:
-
Csistemas voltados para o cliente (chatbots, agentes de suporte)
-
EUcopilotos internos (ferramentas de desenvolvimento, assistentes de segurança)
-
UMfluxos de trabalho de automação (tickets, operações em nuvem, processos de RH)
-
Dgovernança ata (pipelines RAG, bases de conhecimento)
O risco não está mais limitado a "a modelo disse algo que não deveria."
Em 2026, a injeção imediata pode:
-
Tfraudar ações não autorizadas
-
eueak dados confidenciais
-
Cinterromper fluxos de trabalho internos
-
Manipular análises
-
UMfiltrar lógica de negócios
-
Ccomprometer sistemas multiagentes
A superfície de ataque expandiu-se dramaticamente.
O que as empresas devem fazer agora
1. Restringir as permissões do modelo
Limite o que o modelo pode fazer, não apenas o que deveria fazer.
2. Segmente conteúdo não confiável
Trate todos os dados externos – incluindo fontes RAG – como potencialmente hostis.
3. Monitore a invocação da ferramenta
Exigir aprovação humana para ações de alto impacto.
4. Valide a proveniência do conteúdo
Certifique-se de que os pipelines RAG não ingiram conteúdo externo envenenado.
5. Roteadores de modelo reforçado
Evite que invasores forcem o roteamento para modelos mais fracos.
6. Trate os LLMs como componentes não confiáveis
Esta mudança de mentalidade é a base da segurança moderna da IA.
O resultado final
A injeção imediata continua sendo a maneira mais eficaz de comprometer os sistemas de IA corporativos porque explora a forma fundamental como os LLMs interpretam o texto. Até que as organizações tratem os LLMs como intérpretes não confiáveis — e não como tomadores de decisão autônomos — a injeção imediata continuará a dominar o cenário de ameaças de IA.
Julie Brunias é arquiteta de segurança de IA.
Fonte ==> Cyberseo
