A confiança depositada em assistentes de IA está sendo testada como nunca. Recentemente, pesquisadores da LayerX demonstraram uma técnica surpreendente: é possível ocultar comandos maliciosos de IAs usando fontes personalizadas, um método conhecido como ataque de renderização de fontes. O que parece seguro à primeira vista para um humano pode enganar totalmente um modelo de linguagem, revelando uma vulnerabilidade crítica no uso de assistentes como ChatGPT, Gemini e Copilot.
O que é o ataque de renderização de fontes
O ataque de renderização de fontes explora uma lacuna entre o que os usuários humanos veem e o que as IAs processam. Basicamente, pesquisadores substituem glifos em uma fonte personalizada, de forma que caracteres aparentemente normais exibam comandos maliciosos quando lidos por modelos de linguagem. Combinado com CSS estratégico, é possível camuflar o conteúdo e enganar o processamento automatizado de textos.
Por exemplo, um botão que parece inofensivo para um humano pode conter instruções ocultas que direcionam uma IA a realizar tarefas indesejadas, como exfiltrar dados ou interpretar conteúdo falso como confiável. A chave do ataque está na manipulação visual: a IA lê o DOM e o código subjacente, mas não “vê” a renderização visual do navegador como faria um humano. Esse descompasso cria uma janela para a exploração de engenharia social automatizada.
A falha de percepção dos assistentes de IA
Os LLMs (Modelos de Linguagem de Grande Escala) dependem de uma interpretação estrutural do HTML e do texto bruto, mas não possuem percepção visual completa. Isso significa que o que aparece na tela para um humano pode ser completamente diferente do que é processado pela IA. Pesquisas demonstraram que assistentes como Grok, Claude, Perplexity, além de ChatGPT e Gemini, estão vulneráveis a esse tipo de manipulação.
Essa falha evidencia uma limitação crítica: a confiança cega em IAs para análises de segurança ou interpretação de conteúdo pode ser perigosa. Um texto malicioso, camuflado por uma fonte ou estilo, pode ser lido e executado como se fosse legítimo, potencialmente abrindo portas para ataques automatizados em grande escala.
Resposta das Big Techs e o caso Microsoft
A reação das empresas envolvidas foi variada. A Microsoft agiu rapidamente ao detectar o problema, implementando correções nos modelos que permitiram a leitura mais robusta do conteúdo renderizado, mitigando a vulnerabilidade. Por outro lado, o Google rebaixou a prioridade do problema em alguns de seus assistentes, indicando que a abordagem visual ainda não era considerada crítica para todos os produtos.
Essas diferentes posturas revelam que, apesar do avanço rápido da IA, as empresas ainda enfrentam desafios significativos em alinhamento entre interpretação visual e leitura estrutural de conteúdo. Enquanto algumas adotam medidas proativas, outras podem subestimar os riscos, deixando os usuários vulneráveis a ataques de renderização de fontes.
Como se proteger e o futuro da segurança em IA
Para usuários e profissionais de cibersegurança, algumas práticas podem reduzir riscos: verificar visualmente comandos suspeitos antes de executá-los, desconfiar de links ou textos que parecem “estranhos” e usar navegadores com extensões de segurança que bloqueiam fontes ou scripts desconhecidos. Além disso, empresas de IA precisam investir em modelos que combinem percepção visual e análise estrutural para impedir que engenharia social automatizada explore essas lacunas.
O futuro da segurança em assistentes de IA exige integração de camadas de análise visual, melhores filtros de conteúdo e maior conscientização dos usuários sobre os limites da tecnologia. Confiar cegamente em uma IA para interpretar segurança de páginas web pode ser arriscado. Compartilhe suas experiências com assistentes de IA nos comentários e participe da discussão sobre como tornar essas ferramentas mais seguras.
