Pesquisadores de cibersegurança demonstraram uma nova técnica de injeção de prompt chamada PromptFix, que engana um modelo de inteligência artificial generativa (GenAI) para executar ações pretendidas, incorporando a instrução maliciosa dentro de uma verificação de CAPTCHA falsa em uma página da web.
Descrita pela Guardio Labs como "uma abordagem da era da IA ao golpe do ClickFix", a técnica de ataque demonstra como navegadores orientados por IA, como o Comet da Perplexity, que prometem automatizar tarefas mundanas como fazer compras online ou gerenciar e-mails em nome dos usuários, podem ser enganados a interagir com páginas de phishing ou lojas fraudulentas semelhantes sem o conhecimento ou intervenção do usuário humano.
"Com o PromptFix, a abordagem é diferente: Não tentamos induzir o modelo à obediência por meio de falhas," disse a Guardio.
"Em vez disso, nós o enganamos usando técnicas emprestadas do playbook de engenharia social humana – apelando diretamente para seu objetivo principal de design: ajudar seu humano de forma rápida, completa e sem hesitação."
Isso leva a uma nova realidade que a empresa chama de Scamlexity, um portmanteau dos termos "scam" (golpe) e "complexity" (complexidade), onde a IA agente – sistemas que podem perseguir objetivos, tomar decisões e realizar ações com supervisão humana mínima – leva os golpes para um nível totalmente novo.
Com assistentes de codificação alimentados por IA como o Lovable provando ser susceptíveis a técnicas como o VibeScamming, um atacante pode efetivamente enganar o modelo de IA a entregar informações sensíveis ou realizar compras em sites falsificados disfarçados como o Walmart.
Tudo isso pode ser realizado emitindo uma instrução tão simples quanto "Compre-me um Apple Watch" depois que o humano chega ao site fraudulento em questão através de um dos vários métodos, como anúncios em mídias sociais, mensagens de spam ou envenenamento de SEO (Search Engine Optimization).
Scamlexity é "uma era nova e complexa de golpes, onde a conveniência da IA colide com uma nova superfície de golpe invisível e os humanos se tornam o dano colateral," disse a Guardio.
A empresa de cibersegurança disse que executou o teste várias vezes no Comet, com o navegador apenas ocasionalmente parando e pedindo ao usuário humano para completar o processo de checkout manualmente.
Mas em várias instâncias, o navegador prosseguiu totalmente, adicionando o produto ao carrinho e auto-preenchendo o endereço salvo do usuário e detalhes do cartão de crédito sem pedir a confirmação deles em um site falso de compras.
Da mesma forma, descobriu-se que pedir ao Comet para verificar seus e-mails em busca de itens de ação é suficiente para analisar e-mails de spam alegando ser do banco do usuário, clicar automaticamente em um link embutido na mensagem e inserir as credenciais de login na página de login falsa.
"O resultado: uma cadeia de confiança perfeita que se tornou rebelde.
Ao lidar com toda a interação do e-mail para o site, o Comet efetivamente validou a página de phishing," disse a Guardio.
"O humano nunca viu o endereço do remetente suspeito, nunca passou o mouse sobre o link e nunca teve a chance de questionar o domínio." E isso não é tudo.
À medida que as injeções de prompt continuam a atormentar os sistemas de IA de maneiras diretas e indiretas, os Navegadores IA também terão que lidar com prompts ocultos dissimulados dentro de uma página da web que são invisíveis para o usuário humano, mas podem ser analisados pelo modelo de IA para desencadear ações não intencionadas.
Esse ataque chamado PromptFix é projetado para convencer o modelo de IA a clicar em botões invisíveis em uma página da web para contornar verificações de CAPTCHA e baixar payloads maliciosos sem qualquer envolvimento por parte do usuário humano, resultando em um ataque de drive-by download.
"O PromptFix funciona apenas no Comet (que realmente funciona como um Agente de IA) e, por falar nisso, também no Modo Agente do ChatGPT, onde conseguimos que ele clicasse no botão ou realizasse ações conforme instruído," a Guardio disse ao site The Hacker News.
"A diferença é que, no caso do ChatGPT, o arquivo baixado fica dentro de seu ambiente virtual, não diretamente no seu computador, já que tudo ainda funciona em uma configuração sandboxed."
Os achados mostram a necessidade dos sistemas de IA irem além das defesas reativas para antecipar, detectar e neutralizar esses ataques, construindo robustas proteções contra phishing, verificações de reputação de URL, spoofing de domínio e arquivos maliciosos.
O desenvolvimento também ocorre à medida que os adversários se inclinam cada vez mais para plataformas GenAI como construtores de sites e assistentes de escrita para criar conteúdo de phishing realista, clonar marcas confiáveis e automatizar a implantação em larga escala usando serviços como construtores de sites low-code, segundo a Palo Alto Networks Unit 42.
Além disso, assistentes de codificação de IA podem inadvertidamente expor código proprietário ou propriedade intelectual sensível, criando potenciais pontos de entrada para ataques direcionados, acrescentou a empresa.
A firma de segurança empresarial Proofpoint disse que observou "numerosas campanhas aproveitando serviços Lovable para distribuir kits de phishing de autenticação multifatorial (MFA) como Tycoon, malware como drenadores de carteira de criptomoedas ou carregadores de malware, e kits de phishing visando cartão de crédito e informações pessoais."
Os websites falsificados criados usando Lovable levam a verificações de CAPTCHA que, uma vez resolvidas, redirecionam para uma página de phishing de credenciais com marca da Microsoft.
Outros sites foram encontrados para se passarem por serviços de envio e logística como a UPS para enganar vítimas a inserirem suas informações pessoais e financeiras, ou levá-las a páginas que baixam trojans de acesso remoto como o zgRAT.
URLs Lovable também foram abusadas para golpes de investimento e phishing de credenciais bancárias, reduzindo significativamente a barreira de entrada para o cibercrime.
Desde então, a Lovable retirou os sites e implementou proteções de segurança movidas a IA para impedir a criação de sites maliciosos.
Outras campanhas capitalizaram em conteúdo deepfake enganoso distribuído no YouTube e em plataformas de mídia social para redirecionar usuários para sites de investimento fraudulentos.
Esses golpes de trading de IA também dependem de blogs falsos e sites de avaliação, muitas vezes hospedados em plataformas como Medium, Blogger e Pinterest, para criar um falso senso de legitimidade.
"A GenAI aprimora as operações dos atores de ameaças em vez de substituir as metodologias de ataque existentes," disse a CrowdStrike em seu Relatório de Caça a Ameaças para 2025.
"Os atores de ameaças de todas as motivações e níveis de habilidade quase certamente aumentarão o uso de ferramentas GenAI para engenharia social no curto a médio prazo, especialmente à medida que essas ferramentas se tornam mais disponíveis, fáceis de usar e sofisticadas."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...