Um grupo de pesquisadores detalhou como agentes de inteligência artificial, como o OpenClaw, escondem uma grande falha na forma de trabalhar. A partir de um único e simples email, é possível enganar esses agentes por meio de comandos ocultos. O estudo chegou a criar uma ferramenta chamada de MemGhost, que possibilita os ataques de manipulação.
A pesquisa “When Claws Remember But Do Not Tell” foi realizada por pesquisadores da Universidade John Hopkins e da Universidade de Tecnologia de Nanyang. Diferente de outros problemas no mundo da cibersegurança, o que esse grupo descobriu não se trata de um vírus tradicional ou de uma falha no código de programação, mas sim da exploração de um comportamento natural das IAs.
smart_display
Nossos vídeos em destaque
O coletivo de estudiosos chamou o método de Injeção Furtiva de Memória, que ocorre quando um texto malicioso é inserido em um ambiente de IA. Esse código é capaz de assumir o controle das ações do assistente sem que o dono da conta perceba e então começar a lhe dar ordens ocultas.
Um agente de IA é uma tecnologia que consegue se lembrar do usuário e das perguntas que ele realiza. Porém, como ele tem essa memória persistente para as lembranças, se um ataque acomete esse ambiente aparentemente seguro, não existe mais confiança e a porteira para golpes fica aberta.
O risco dessa descoberta não está necessariamente no roubo de dados, mas na perpetuação de uma mentira. Um cibercriminoso poderia passar meses enviando comandos ocultos para um agente de IA e interferir diretamente na vida pessoal ou profissional daquele usuário. A manipulação a longo prazo é o objetivo.
Uma mentira que se repete
Sistemas de código aberto, como o OpenClaw, guardam as preferências do usuário em suas memórias. Eles anotam seus contatos, organizam a agenda e leem seus emails. É exatamente neste último tópico que um ataque pode ocorrer: o email. Basta uma simples mensagem para a IA entender tudo errado.
Para provar a gravidade da falha, os especialistas criaram o MemGhost, uma ferramenta ofensiva que automatiza esse golpe. O MemGhost é, ironicamente, uma outra IA. Ele foi treinado em laboratório para redigir o e-mail malicioso perfeito, ou seja, um texto capaz de burlar os filtros de segurança da vítima, dar ordens à IA e exigir que ela esconda seus rastros.
- O ataque começa quando o atacante envia um email para a caixa de entrada do usuário, mas com instruções ocultas que só o agente de IA pode ler;
- Quando o OpenClaw lê esse email, ele começa a executar a ordem oculta, escrevendo uma informação falsa no seu próprio arquivo de memória;
- A IA responde o email e sequer avisa à vítima que alterou sua memória. É como se nada tivesse acontecido.
)
A partir desse momento, esse agente de IA utilizado passa a agir de acordo com que foi escrito naquele email. É como se o atacante se tornasse um ventríloquo controlando uma marionete, que neste caso é a inteligência artificial comprometida. No fim, a vítima sequer desconfia que há algo de errado.
Nos testes laboratoriais realizados com o modelo GPT-5.4 rodando o OpenClaw, a injeção furtiva teve uma taxa de sucesso de impressionantes 87,5% quando a IA operava em segundo plano.
O perigo disso tudo é a citada manipulação. Cada vez mais emails são enviados, com novos códigos e novas instruções. Essas instruções podem dizer que o usuário teve seu limite do banco aumentado para R$ 10 mil. E também fazer com que a IA ignore um email de phishing que aquela vítima pode clicar e cair em mais um golpe.
Há como se proteger?
O caso apontado pelos pesquisadores é complexo por uma série de razões. Uma delas é a dificuldade de conter o problema. Essa questão não é necessariamente uma brecha, mas sim o próprio comportamento natural da IA. O estudo não fornece dicas de como se proteger, mas de mudanças na construção dessas tecnologias.
A principal recomendação de curto prazo é criar um “agente leitor” isolado. Uma IA sem permissão de escrita de arquivos deve ler os e-mails e passar apenas um resumo higienizado para a IA principal. Para usuários comuns, o ideal seria a IA nunca escrever na memória permanente sem antes exibir um alerta na tela: “Posso salvar esta informação?”.
Por falar em grandes problemas, um novo tipo de vírus engana o Windows e usa a Steam para infectar projetos de desenvolvedores em um grande efeito cascata. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
