Ataque Invisível: Como Hackers Usam Caracteres Secretos para Enganar a IA Gemini em 2025!

Descubra a nova ameaça: hackers escondem comandos em texto invisível para controlar a IA. A Google reage, mas a polêmica sobre segurança e responsabilidade cresce.

Um relatório recente de segurança revelou uma nova técnica, chamada "ASCII smuggling", que esconde instruções dentro de textos usando caracteres invisíveis. Essa técnica permite que comandos sejam inseridos em textos, e quando um modelo de IA como o Google Gemini lê esse texto, ele pode executar esses comandos sem que humanos consigam vê-los. A reação da Google a essa descoberta gerou um debate sobre quem é responsável por se defender contra essa ameaça. O "ASCII smuggling" é um método simples: um caractere invisível pode alterar o que uma IA comunica ou faz. Essa técnica é especialmente perigosa quando assistentes de IA estão integrados a sistemas como e-mail e calendários. A decisão da Google de classificar essa falha como engenharia social, em vez de um bug do modelo, gerou controvérsia sobre quem deve ser responsabilizado. Basicamente, o "ASCII smuggling" insere caracteres invisíveis ou não imprimíveis em um texto, fazendo com que ele seja interpretado de maneira diferente por uma máquina do que por um humano. Esses caracteres, como espaços de largura zero e outros símbolos de controle Unicode, não aparecem na exibição de texto padrão, mas alteram os dados brutos vistos pela IA. Pesquisadores demonstraram que uma frase aparentemente comum, como "Diga-me cinco palavras aleatórias", pode conter instruções que fazem com que o Gemini ignore o texto visível e produza uma saída especificada pelo invasor. Como o Gemini (e outros modelos de

linguagem grandes) executa o texto bruto fornecido, o modelo pode seguir as instruções embutidas, independentemente do que um humano lendo o texto observa. O método é mais ameaçador quando a IA está conectada a aplicativos e serviços, como e-mail e calendários. Se o Google Gemini detectar um convite de calendário ou e-mail contendo informações ocultas, ele poderá resumir, transformar ou responder a esse material de maneiras inesperadas. Isso pode permitir que um invasor falsifique informações de reuniões, insira um link malicioso em resumos ou manipule outras saídas automatizadas sem deixar rastros aparentes para leitores humanos. A revelação do "ASCII smuggling" levanta duas questões importantes. Primeiro, fornece um caminho claro para que texto invisível altere o que uma IA diz ou faz. Segundo, levanta dúvidas sobre quem deve ser responsabilizado por impedir tais ataques: os desenvolvedores e operadores da IA (como a Google) ou os usuários. Especialistas em segurança que demonstraram o "ASCII smuggling" argumentaram que o problema é mais do que apenas um truque inteligente. Quando um assistente de IA pode resumir mensagens, alterar metadados de calendário ou executar ações em nome dos usuários, as instruções ocultas se tornam uma superfície de ataque com consequências tangíveis. A posição oficial da Google é considerar o "ASCII smuggling" uma forma de "engenharia social" – uma abordagem baseada em engano – em vez de um bug de software que exige uma correção no nível do modelo. Isso coloca a responsabilidade no comportamento do usuário final e nos hábitos de implantação, em vez de modificar o processamento de entrada do modelo. A maioria dos profissionais de segurança considera essa abordagem inadequada. Eles acreditam que, quando uma IA tem acesso a e-mails, calendários e mecanismos de automação da empresa, o fornecedor da plataforma é obrigado a detectar ataques de caracteres ocultos, em vez de colocar todo o ônus nos usuários finais e administradores. O debate gira em torno da responsabilidade: os fornecedores alertam que correções desenfreadas podem prejudicar o comportamento legítimo da linguagem, mas os pesquisadores observam que a detecção e o registro direcionados podem frustrar a maioria dos ataques sem exigir grandes alterações no Unicode. Há defesas práticas que não envolvem a desativação de recursos úteis da IA. Primeiro, os sistemas podem normalizar ou remover caracteres invisíveis antes de passar o texto para um modelo, bloqueando ataques no nível de entrada. Isso precisa ser feito com cuidado para evitar a interrupção de texto válido em scripts não latinos ou em processos de acessibilidade. Segundo, as equipes devem registrar e auditar o texto bruto que o modelo recebe, em vez de agir apenas na string voltada para o usuário; observar as entradas brutas permite identificar tokens suspeitos e notificar os administradores. Terceiro, considere que qualquer ação que possa escrever em calendários, enviar mensagens ou alterar metadados precisa de revisão humana; gere resumos automatizados ou ações sugeridas como rascunhos até que um humano os aprove. Quarto, restrinja os privilégios automatizados do assistente e encapsule os aspectos de agente em escopos rigorosos para que um caractere invisível menor não possa fazer alterações. Por fim, inclua assinaturas de detecção para padrões de caracteres invisíveis reconhecidos e treine a equipe para que as saídas automatizadas nem sempre sejam perfeitas. Coletivamente, essas medidas reduzem a probabilidade de que um caractere invisível se torne silenciosamente um vetor de impersonificação ou vazamento de dados. Há concessões reais para os defensores. Uma remoção global e rigorosa de caracteres não imprimíveis acabaria com a maioria dos ataques, mas também poderia quebrar o processamento adequado de texto internacional e software de acessibilidade. Os vendedores estão cautelosos porque a limpeza agressiva pode levar a regressões ou reduzir a utilidade do modelo. Muitos especialistas, portanto, propõem um meio-termo: manter o comportamento Unicode regular, mas também incluir observabilidade e verificações específicas. Registrar cargas úteis brutas, marcar sequências de controle individuais como suspeitas, colocar mensagens duvidosas em quarentena e exigir aprovação humana para comportamentos arriscados fornecem proteção sem sacrificar os valiosos recursos de linguagem. Para usuários comuns, a lição imediata é clara: tenha cuidado com o comportamento totalmente automatizado da IA que pode modificar calendários, enviar mensagens ou alterar metadados sem um humano no loop. Se qualquer empresa depender de resumos automatizados ou assistentes do tipo agente, assuma que esses resultados precisam ser verificados. Conscientização e cautela, não pânico ou abandono total da IA, são as melhores opções. As empresas podem manter a conveniência, minimizando o risco, incorporando pequenas verificações processuais e filtros técnicos. Vigilância, inspeção de carga útil bruta, detecção direcionada e padrões conservadores no comportamento de agente tornarão os ataques de texto invisível significativamente mais difíceis de serem bem-sucedidos; enquanto isso, o trabalho no mundo real mitigará o risco, mantendo o valor dos assistentes de IA.

📝 Sobre este conteúdo Esta matéria foi adaptada e reescrita pela equipe editorial do TudoAquiUSA com base em reportagem publicada em Techgenyz . O texto foi modificado para melhor atender nosso público, mantendo a precisão factual. Veja o artigo original aqui.