Siga o Olhar Digital no Google Discover
Tudo sobre Inteligência Artificial
Pesquisadores da Straiker STAR Labs descobriram um ataque de clique zero (sem necessidade de clique) capaz de transformar o navegador Comet, da Perplexity AI, numa ferramenta involuntária de destruição. Basta um único e-mail malicioso para que os arquivos do Google Drive de um usuário sejam apagados.
Neste tipo de ataque, o usuário não precisa clicar em nada para que ele ocorra. No ataque em questão, o próprio assistente de inteligência artificial (IA) faz o serviço sujo ao interpretar a mensagem como parte de uma rotina comum de organização.
A brecha explora exatamente o que torna esses navegadores de IA tão convenientes: a conexão profunda com plataformas muito usadas no cotidiano, como Gmail e Drive do Google. Geralmente, usuários dão ao Comet permissões para ler e-mails, navegar por pastas e até mover, renomear ou excluir arquivos.
Esse grau de autonomia, somado a instruções ambíguas, cria o terreno perfeito para que um e-mail aparentemente inofensivo seja executado como se fosse um comando legítimo. É essa combinação que motivou o alerta dos pesquisadores.
Como um e-mail pode virar comando para apagar um Drive inteiro no Comet
O ataque nasce da própria integração do Comet com os serviços do Google. Como o navegador tem autorização para acessar o Gmail e manipular arquivos no Drive, ele age como um organizador automático sempre que o usuário pede que “verifique a caixa de entrada” ou “cuide das tarefas”.
Essas instruções genéricas abrem espaço para interpretações amplas. E é justamente aí que a exploração acontece. O caminho é assim:
- O cibercriminoso envia um e-mail especialmente preparado, escrito em linguagem natural e com aparência rotineira;
- Para o Comet, aquilo parece apenas mais uma tarefa de organização. O agente lê a mensagem, entende as instruções como parte do trabalho solicitado e começa a mover e excluir arquivos sem pedir confirmação;
- Não há estranheza no processo – tudo parece se encaixar no fluxo que o próprio usuário iniciou.
Por isso, o ataque é classificado como zero-click. A vítima não precisa abrir o e-mail malicioso. Basta acionar qualquer tarefa de organização para o Comet ler automaticamente a mensagem e executar as instruções. O navegador simplesmente cumpre o que acredita ser uma limpeza legítima do Drive.
Por que a falha se espalha rápido – e o que ela revela sobre agentes de IA
Quando o Comet recebe acesso via OAuth, ele não só gerencia o Drive do usuário. O navegador também consegue alterar conteúdo em pastas compartilhadas.
Isso significa que um ataque bem-sucedido pode se espalhar entre diferentes contas. Assim, é capaz de afetar equipes inteiras com a mesma rapidez com que um arquivo é movido ou apagado.
A parte mais preocupante: o golpe não depende de jailbreak nem de prompt injection, técnicas normalmente associadas à manipulação de IA.
O ataque funciona explorando apenas o comportamento normal do navegador. De um lado, isso torna tudo mais difícil de detectar. De outro, torna tudo mais simples para quem tenta explorá-lo.
Leia mais:
- Brecha em navegadores com IA pode levar a roubo de dados, contas e até dinheiro
- O navegador Atlas, com ChatGPT, espiona os usuários? Entenda como a IA analisa sua atividade
- Qual a diferença do ChatGPT para o navegador Atlas da OpenAI? E o que dá para fazer nele?
Para os pesquisadores da Straiker STAR Labs, o caso é um exemplo claro do risco da chamada agência excessiva: quando agentes de IA tomam decisões amplas com base em instruções vagas, sem avaliar se cada passo é realmente seguro.
Isso não é um bug isolado, mas um problema de arquitetura mesmo. Não basta reforçar a segurança do modelo; é preciso repensar o desenho completo dos agentes, suas permissões e a forma como interpretam linguagem natural.
