Os principais assistentes de inteligência artificial do mercado estão vulneráveis a uma nova técnica de ataque que utiliza a renderização de tipos de letra para ocultar comandos informáticos maliciosos. A descoberta foi detalhada pelos investigadores de segurança da LayerX, que demonstraram como é possível manipular ferramentas baseadas em IA para que estas validem instruções perigosas como sendo completamente seguras para os utilizadores.
Como funciona o ataque através do tipo de letra
A técnica tira partido do desfasamento na forma como os assistentes analisam as páginas web face à visão humana. Enquanto uma pessoa vê a página devidamente processada e desenhada pelo navegador, a IA lê apenas o código HTML subjacente. Os atacantes utilizam ficheiros de tipos de letra personalizados que substituem carateres reais, combinados com regras de CSS que escondem texto inofensivo através de tamanhos reduzidos ou cores idênticas ao fundo.
O resultado desta falha é que a máquina e a pessoa interpretam realidades distintas. O assistente lê um bloco de código aparentemente seguro, mas o utilizador visualiza uma instrução maliciosa no ecrã. Durante as provas de conceito, a equipa de investigação criou uma página falsa que prometia um brinde digital para o jogo Bioshock caso fosse executado um comando específico no sistema operativo. Quando os utilizadores questionavam a IA sobre a segurança da instrução, os assistentes davam luz verde, ignorando o perigo que estava mascarado no design visual.
A resposta da indústria e o alerta aos utilizadores
A investigação testou vários modelos conhecidos em dezembro de 2025, incluindo o ChatGPT, Claude, Gemini e Perplexity, verificando que quase todos falharam na deteção do problema. A falha foi comunicada às empresas tecnológicas no final do ano passado, mas a grande maioria classificou a situação como estando fora do âmbito de segurança, argumentando que a ameaça depende de engenharia social para convencer a vítima a executar a ação.
A Microsoft destacou-se por ser a única fabricante a aceitar o relatório formalmente e a resolver a vulnerabilidade no seu assistente Copilot. A Google chegou a classificar o problema com prioridade elevada numa fase inicial, mas encerrou o caso pouco depois ao considerar que a tática não causava danos significativos de forma isolada.
A recomendação atual dos investigadores é que as respostas destas plataformas nunca devem ser seguidas de forma cega, especialmente quando incentivam à introdução de comandos complexos. Em simultâneo, apelam para que os sistemas analisem a página renderizada e não apenas o seu código fonte estrutural para avaliar os riscos com maior precisão.
Nenhum comentário
Seja o primeiro!