Dark
Light
Por 

Google preveni problemas de segurança de agentes de IA no Chrome

O Google explica como pretende proteger as capacidades de navegação assistida por agentes no Chrome, com um design de segurança em camadas que visa limitar os efeitos da injeção indireta de prompts.
12 de Dezembro, 2025

Com os riscos que os agentes de IA integrados no navegador da web podem representar (lembre-se de que um agente de IA não apenas cria conteúdo; ao contrário da IA generativa, este pode realizar ações de forma autónoma) por meio de truques como a injeção de prompts, o Google quis dotar o seu navegador Chrome de uma camada adicional de segurança, agora que este navegador também se abriu para a IA do Gemini.

E não é para menos, já que entre os possíveis impactos da injeção de prompts em agentes de IA, o Google cita o início de transações financeiras não autorizadas ou a extração de dados confidenciais durante a navegação.

Para combater este tipo de ameaças, o Google incorporou no Chrome uma abordagem de defesa em camadas que combina mecanismos deterministas com controlos baseados em modelos de IA, com o objetivo de aumentar o custo e a dificuldade dos ataques contra os agentes integrados no navegador. Este design baseia-se nas proteções existentes do Gemini e em princípios prévios de segurança para agentes, e foi desenvolvido de forma coordenada por especialistas em segurança de diferentes áreas do Google.

A equipa do Chrome explica que o planeador principal do Gemini utiliza o conteúdo das páginas que o utilizador partilha com o navegador para decidir qual a ação a executar a seguir. Como essas informações vêm da web, o sistema é intrinsecamente vulnerável à injeção indireta de instruções. Para mitigar esse risco, são utilizadas técnicas como o chamado “spotlighting”, que orienta o modelo a priorizar as instruções do utilizador e do sistema em relação ao que aparece na página, além de ter incorporado ataques conhecidos no treino do modelo para reduzir sua probabilidade de sucesso.

Como reforço adicional, o Chrome também introduz um componente específico chamado User Alignment Criti, que consiste num segundo modelo, também baseado no Gemini, que atua como um elemento de alta confiança e cuja função é rever as ações propostas pelo planeador antes que elas se materializem no navegador. Este é executado após a conclusão do plano e concentra-se em verificar se cada ação proposta está alinhada com o objetivo declarado pelo utilizador, podendo vetar aquelas que considerar desviadas da tarefa.

Este componente foi concebido para receber apenas metadados sobre a ação proposta, sem acesso direto a conteúdo web não confiável, com o objetivo de reduzir a superfície de ataque e evitar que possa ser manipulado a partir da própria página. A sua missão é mais limitada do que a do planeador (aprovar ou rejeitar ações) e, quando rejeita uma proposta, devolve informações ao modelo de planeamento para que este reformule o plano. Em caso de erros repetidos, o planeador pode devolver o controlo ao utilizador.

A necessidade de um agente poder operar em vários sites (por exemplo, lendo informações numa página e adicionando artigos a um carrinho de compras noutra) abre a possibilidade de, se for comprometido e tiver acesso sem restrições, acabar por funcionar na prática como um bypass das barreiras de isolamento entre sites. Por isso, a equipa do Chrome estendeu os princípios clássicos de segurança do navegador, como o isolamento entre páginas carregadas, ao novo contexto dos agentes.

Outro pilar do design centra-se na transparência e no controlo do utilizador sobre as ações do agente. Enquanto o agente trabalha num separador, o Chrome mostra um registo de atividade que detalha cada passo, para que o utilizador possa observar o comportamento do sistema em tempo real e, se considerar necessário, pausar a execução, assumir o controlo ou interromper a tarefa. Este nível de visibilidade é combinado com várias camadas de verificações, baseadas tanto em regras como em modelos, para exigir confirmações explícitas antes que o agente execute ações consideradas de impacto.

Paralelamente a estes elementos estruturais, o Chrome incorpora processos para detetar e responder a ameaças durante a execução do agente. Enquanto este está ativo, cada página processada é analisada em busca de tentativas de injeção indireta de prompts por meio de um classificador específico, que opera além dos mecanismos de proteção já presentes no navegador, como a verificação em tempo real do Safe Browsing e o uso de IA no dispositivo para detetar fraudes tradicionais.

Este classificador de injeção de prompts é executado em paralelo à inferência do modelo de planeamento e pode impedir a execução de ações baseadas em conteúdo que considere projetado para desviar o agente do objetivo do utilizador. Embora não possa identificar todas as possíveis tentativas de influência maliciosa, apresenta-se como uma camada adicional dentro da estratégia de defesa em profundidade.

Ver mais

Opinião

Impulsionar a colaboração para combater o cibercrime

Derek Manky

Inteligência Artificial em 2026: Entre a Automação da Ameaça e a Defesa Algorítmica

Rui Ribeiro

Os dados estão lançados: quais as apostas para 2026?

Bruno Castro

A bolha da IA não está na tecnologia, está nas decisões

Luís Almeida

Reforçar a segurança: estratégias eficazes com recursos limitados

Pedro Jorge Viana

Além dos Algoritmos. Arquitetos da Inteligência Criativa

Joana Teixeira
Ver mais

Relacionados