Pesquisadores em cibersegurança apresentaram uma nova técnica de injeção de prompt chamada PromptFix, que engana modelos de inteligência artificial generativa (GenAI) para realizar ações indesejadas. Essa técnica, descrita pela Guardio Labs como uma versão moderna do golpe ClickFix, utiliza instruções maliciosas disfarçadas em verificações de CAPTCHA em páginas da web. O ataque explora navegadores impulsionados por IA, como o Comet da Perplexity, que prometem automatizar tarefas cotidianas, permitindo que interajam com páginas de phishing sem o conhecimento do usuário. A técnica leva a um novo cenário denominado Scamlexity, onde a conveniência da IA se combina com uma nova superfície de fraudes invisíveis. Os testes mostraram que o Comet, em várias ocasiões, completou transações em sites falsos sem solicitar confirmação do usuário. Além disso, a técnica pode ser usada para enganar assistentes de codificação, como o Lovable, levando à exposição de informações sensíveis. A pesquisa destaca a necessidade de sistemas de IA desenvolverem defesas proativas para detectar e neutralizar esses ataques, especialmente à medida que os criminosos cibernéticos utilizam plataformas GenAI para criar conteúdo de phishing realista e automatizar ataques em larga escala.
Fonte: https://thehackernews.com/2025/08/experts-find-ai-browsers-can-be-tricked.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
20/08/2025 • Risco: ALTO
PHISHING
Nova técnica de injeção de prompt ameaça segurança de IA
RESUMO EXECUTIVO
A técnica PromptFix representa uma nova ameaça que combina a conveniência da IA com fraudes invisíveis, exigindo que as empresas adotem medidas proativas para proteger seus sistemas e dados. A exploração de assistentes de codificação e navegadores de IA pode resultar em comprometimentos sérios, destacando a necessidade de vigilância contínua e defesa robusta.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a fraudes e comprometimento de dados.
Operacional
Transações não autorizadas e exposição de dados sensíveis.
Setores vulneráveis
['Setores de e-commerce', 'Serviços financeiros', 'Tecnologia da informação.']
📊 INDICADORES CHAVE
O Comet completou transações em sites falsos sem confirmação do usuário em várias ocasiões.
Indicador
A técnica PromptFix foi testada com sucesso em navegadores de IA.
Contexto BR
Campanhas de phishing utilizando assistentes de codificação foram observadas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar sistemas de IA e navegadores utilizados para identificar vulnerabilidades.
2
Implementar soluções de segurança que detectem e bloqueiem tentativas de phishing.
3
Monitorar continuamente atividades suspeitas em transações online e comunicações por e-mail.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação dos ataques que exploram IA, que podem comprometer a segurança de dados e a confiança do cliente.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados sob a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).