Duas advogadas no Pará foram multadas em R$ 84,2 mil após esconderem um comando em petição enviada ao TRT da 8ª Região. O texto orientava o sistema de IA do tribunal a realizar uma leitura superficial, sem contestar as provas.

A técnica tem um nome: prompt injection. Não é um fenômeno novo; ela se apoia na mesma lógica de ocultar instruções em conteúdo aparentemente legítimo, o que remete a práticas de esteganografia, como inserir palavras em branco sobre fundo branco para enganar sistemas automáticos de leitura.

A diferença, neste caso, está no alvo. Não era apenas um mecanismo de busca, mas um sistema capaz de influenciar a análise de informações em um contexto sensível, com potencial para impactar o patrimônio, o emprego e os direitos de terceiros.

Um paralelo histórico conhecido é o uso de mensagens ocultas em microdots durante a Segunda Guerra Mundial, nas quais as informações eram reduzidas a pontos minúsculos e escondidas em correspondências ou documentos aparentemente comuns. Esse tipo de técnica ilustra bem a ideia central da esteganografia: esconder a própria existência da mensagem e não apenas seu conteúdo.

O caso é brasileiro e é só o começo.

O que o TRT-8 revelou não é um incidente de dois profissionais criativos demais, mas o primeiro sintoma visível de uma vulnerabilidade que a maioria das organizações ainda não enxerga, pois continua tratando IA como ferramenta, quando ela já opera como tomadora de decisão.

O Judiciário foi o primeiro a ser exposto publicamente. Mas o problema não pertence ao Direito.

Análises de crédito. Subscrição de seguros. Triagem de currículos. Aprovação de contratos. Atendimento ao consumidor. Em cada um desses domínios, um agente autônomo lê o contexto, mas este pode ser contaminado.

Paulo Perrotti, advogado especializado em proteção de dados, alertou em maio de que a extensão de técnicas de prompt injection a esses domínios é uma questão de tempo, não de possibilidade. O vetor de ataque mais perigoso de 2026 não é um hacker sofisticado. É um input envenenado em um processo que ninguém audita.

Existe uma ilusão confortável nos conselhos: cybersecurity é um problema técnico resolvido por ferramentas técnicas. Mais endpoint protection, SIEM, SOC, pentest.

Funcionou quando o perímetro era claro: humanos acessando sistemas com credenciais controladas. Mas o que acontece quando os “colaboradores” que acessam seus sistemas mais sensíveis não são humanos?

Em organizações com agentes autônomos em produção, as identidades não humanas já superam as humanas na proporção de 10 para 1. Em alguns casos, 45 para 1. Cada uma é um ponto de acesso. Cada uma toma decisões. A esmagadora maioria opera sem aprovação de segurança, sem escopo definido, sem ninguém responsável pelo que faz.

Se isso parece familiar, é porque reproduz o mesmo erro que as organizações cometem com executivos mal contratados, só que em escala exponencial e com a velocidade de máquina.

O que as advogadas exploraram não foi uma vulnerabilidade técnica, e sim uma falha organizacional. O caso do TRT-8 é frequentemente descrito como um ataque de prompt injection. Mas reduzir a isso é errar o diagnóstico.

O que aquelas advogadas fizeram foi explorar a ausência de uma arquitetura de delegação. O sistema de IA do tribunal não tinha um escopo definido quanto ao que podia aceitar como instrução. Não tinha limites de alçada, pois processava qualquer comando sem escalá-lo para revisão humana. Não havia uma cadeia de accountability porque ninguém auditava o que ele fazia com os inputs recebidos. E nunca passou por revisão periódica desde a implantação

Foram quatro ausências, com as mesmas dimensões que qualquer organização exigiria de um executivo humano antes de lhe conceder poder de decisão, mas nenhuma foi exigida do agente.

O que tornava o sistema vulnerável não era a sofisticação do ataque, e sim o fato de nenhuma dessas quatro perguntas ter sido respondida antes da implantação.

O mercado chamou isso de “shadow AI”. O nome minimiza: Shadow IT era um funcionário usando Dropbox pessoal para sincronizar arquivos, algo inconveniente, gerenciável, mas rastreável. Shadow AI é um tomador de decisão que opera no escuro, vulnerável a qualquer pessoa que entenda como ele interpreta o contexto.

Os números já deixaram de ser projeção.

88% das organizações com agentes autônomos em produção relataram incidentes de segurança confirmados ou suspeitos no último ano. Na saúde, 92,7%. O custo médio de um vazamento de dados envolvendo shadow AI fica US$ 670 mil acima do de um incidente convencional, impulsionado pelo tempo de detecção e pela dificuldade de mapear o que foi comprometido.

Não estamos falando apenas de tribunais. Um banco global perdeu 12 milhões de dólares em um único trimestre porque um agente não autorizado, conectado a um modelo de linguagem sem validação, foi manipulado por meio de prompt injection para autoaprovar faturas fraudulentas. A mesma técnica, explorando a mesma vulnerabilidade, sem arquitetura semelhante.

A analogia que uso em toda conversa com conselhos: nenhuma empresa contrataria 50 VPs no mesmo mês sem job description, sem definir a quem reportam, sem limites sobre o que podem aprovar ou gastar. Mas é exatamente isso que acontece quando times colocam agentes autônomos em operação sem uma arquitetura de delegação. Cada agente é um executivo digital, com acesso a sistemas, capacidade de decisão e sem supervisão estruturada.

E o risco não é aditivo, mas composto. Cada agente sem escopo cria uma dívida de delegação que se multiplica a cada novo agente. Com 50 identidades não humanas operando em paralelo, o esforço de mapeamento retroativo é maior do que o custo de qualquer incidente individual.

A pesquisa confirma: apenas 14,4% das organizações enviam seus agentes para a produção com aprovação completa de segurança e de TI. Apenas 24,4% têm visibilidade total sobre quais agentes estão se comunicando entre si. E 45,6% ainda usam chaves de API compartilhadas, o que significa que uma única chave comprometida pode desbloquear múltiplos sistemas simultaneamente.

Confissão pessoal. Outro dia recebi este pedido no WhatsApp: 'Posso liberar o limite da API para USD 2.000 por dia?' Era um dos meus próprios agentes em ambiente de teste, depois de uma noite alucinando contra a chave da Anthropic, me pedindo mais alçada para gastar. Eu, que escrevo sobre governança de agentes.

Isso não é um gap de tecnologia, mas uma dívida de delegação acumulada silenciosamente a cada agente posto em operação sem estrutura.

O problema não é técnico e a solução também não.

A indústria de cybersecurity está respondendo com as ferramentas que conhece: mais monitoramento, mais detecção, mais controle de acesso. São ferramentas necessárias, mas tratam apenas o sintoma.

Cybersecurity pergunta: “Como protegemos esse sistema?”

A governança de delegação pergunta: “Quem autorizou esse agente a decidir isso, dentro de quais limites e quem responde pelo resultado?”

A segunda pergunta é anterior à primeira. E tem outra natureza: não é de compliance, é de design. Você não governa seu caminho fora de uma arquitetura mal projetada. Enquanto essa pergunta não for respondida no momento da implantação, nenhuma camada de proteção será suficiente, pois o risco não está no agente atacado, mas no agente operando exatamente como foi programado, tomando decisões que ninguém autorizou explicitamente.

Esse é o paradoxo que os boards precisam entender: o incidente mais provável não é um agente hackeado. É um agente que funciona perfeitamente dentro de um escopo que ninguém definiu.

Foi exatamente o que aconteceu no TRT-8. O sistema fez o que lhe foi pedido. O problema é que ninguém havia definido o que ele não deveria aceitar.

Existe também uma confusão quanto ao estágio, o que agrava tudo isso. Há uma diferença real entre um agente que informa e outro que opera com autonomia, executando tarefas sem intervenção humana. A maioria das empresas não sabe em qual desses estágios seus agentes estão e, menos ainda, em qual deveriam estar. Essa confusão, por si só, já é uma vulnerabilidade.

As organizações à frente não tratam a segurança de agentes como extensão do programa de cibersegurança, mas como uma disciplina de governança organizacional. Para cada agente autônomo em produção, definem quatro coisas: o que ele pode decidir, até onde pode ir sem escalar, quem responde quando erra e com que frequência seus limites são revisados.

São as mesmas perguntas que transformam um executivo digital em um ativo gerenciável. Sem elas, o melhor firewall do mercado tenta proteger um perímetro que não existe mais, pois o perímetro deixou de ser uma rede e passou a ser uma decisão.

O CEO que não sabe quantos agentes autônomos operam na sua empresa, o que eles podem decidir e quem responde quando erram não tem um problema de tecnologia.

Há um problema na sala do conselho.

Esse problema não será resolvido pelo CISO. Será resolvido quando a governança de delegação entrar na pauta do conselho com o mesmo peso que a governança financeira, porque os agentes que estão tomando decisões agora, enquanto você lê isso, já operam com a alçada de um executivo.

Se duas advogadas no Pará conseguiram manipular um sistema de IA do Judiciário com um comando oculto numa petição, a pergunta que todo conselho no Brasil deveria estar fazendo é outra:

Quem está testando os limites dos seus agentes e o que acontece quando alguém descobre que esses limites nunca foram definidos?

Deixe um comentário

Fontes

G1 — Advogadas multadas por prompt injection contra sistema de IA do TRT da 8ª Região (PA/AP). Mai. 2026.

Raphael Martins (LinkedIn, mai. 2026) — Análise comparativa entre prompt injection e técnicas de manipulação de SEO; segurança e auditoria em profissões que adotam IA em fluxo crítico.

Paulo Perrotti (LinkedIn, mai. 2026) — Extensão de técnicas de prompt injection a crédito, seguros, saúde, recrutamento, contratos e atendimento ao consumidor.

Gravitee — The State of AI Agent Security 2026. Fev. 2026. — 80,9% dos times técnicos com agentes em produção; 14,4% com aprovação completa de segurança; 24,4% com visibilidade total; 45,6% usando chaves de API compartilhadas.

Security Boulevard / Microsoft — Cyber Pulse 2026. — 29% dos colaboradores usando agentes não sancionados; identidades não-humanas superando humanas em proporções de 10:1 a 45:1.

IBM — Cost of a Data Breach Report 2024/2025. — Custo médio de breach: US$ 4,88 milhões.

Cloud Security Alliance — Autonomous but Not Controlled. Abr. 2026. — 65% das organizações com incidente de segurança de agentes no último ano; 82% com ao menos um agente não mapeado.

C9Lab — Shadow AI Incident Report. Mai. 2026. — Caso do banco global com perda de US$ 12 milhões via prompt injection em agente shadow.

Gartner — Projeção: 40% dos aplicativos empresariais com agentes embarcados até o final de 2026.

AGAT Software / Gravitee Survey 2026 — 88% das organizações com incidentes confirmados ou suspeitos; 92,7% no setor de saúde; custo incremental de US$ 670 mil em breaches envolvendo shadow AI.

Deloitte — State of AI in the Enterprise 2026. — 1 em cada 5 empresas com modelo maduro de governança de IA agêntica.

World Economic Forum — Global Cybersecurity Outlook 2025/2026. — 87% dos líderes de segurança apontando vulnerabilidades de IA como o risco de crescimento mais rápido.

CyberArk Labs — Análise de ataques pós-autenticação: roubo de tokens e chaves de API em ambientes com agentes autônomos.

Netskope — AI Risk Report 2026. — Média de 223 violações de política de dados por mês relacionadas ao uso de IA por organização.