O caso do Processo nº 0001062-55.2025.5.08.0130, em trâmite na 3ª Vara do Trabalho de Parauapebas, no Pará, ganhou grande repercussão no último mês e trouxe luz a um debate importante envolvendo governança e IA.
Durante o processo de uma petição trabalhista foi reconhecido o uso, por duas advogadas, de um comando oculto, escrito com fonte branca sobre fundo branco, não perceptível a olho humano mas captado pelo sistema de ferramenta de inteligência artificial do Judiciário.
O caso foi reconhecido como um prompt injection: a técnica voltada para a inserção de comandos ocultos destinados a influenciar o comportamento de sistemas baseados em IA.
Por que o caso TRT-8 é relevante?
Apesar de não ser o primeiro registro de prompt injection, o caso reúne três elementos que raramente se combinam em uma decisão de primeira instância:
- um vetor de ataque tecnicamente sofisticado e visualmente impactante
- texto branco escondido em fonte branca sobre fundo branco,
- uma tese jurídica inovadora e juridicamente densa, com afastamento do §6o do art. 77 do CPC com base na figura inédita do agente de sabotagem do sistema judicial, e uma sanção materialmente expressiva, R$ 84.250,08, com ofício à OAB e à Corregedoria.
Embora o caso tenha sido o episódio de maior repercussão até o momento, ele não permaneceu isolado. Dias depois, a 2ª Vara Cível de Porto Velho/RO identificou comandos ocultos em uma petição inicial destinados a influenciar ferramentas de IA, aplicando multa por litigância de má-fé no percentual máximo de 10% sobre o valor da causa e determinando a expedição de ofícios à OAB e à Secretaria de Tecnologia da Informação do tribunal.
LEIA TAMBÉM:
O que é Prompt Injection e como ele afeta sistemas de IA
Principais técnicas de prompt injection
Os casos recentes demonstram que o tema deixou de ser uma preocupação exclusivamente teórica. O episódio de Parauapebas ilustra a técnica mais conhecida de Prompt Injection, mas ela é apenas uma entre quatro vetores documentais relevantes.
À medida que ferramentas de IA são integradas a fluxos jurídicos, cada uma dessas técnicas representa um risco operacional concreto. Abaixo elencamos as quatro principais técnicas de Prompt Injection em documentos:
1 – Texto invisível por cor
É o método mais clássico e reconhecido, e o vetor utilizado no caso Parauapebas. Nessa técnica a cor da fonte acompanha a cor do fundo do documento jurídico, o que deixa a mensagem imperceptível a olho humano. Texto branco sobre fundo branco, no caso mais frequente.
Para as ferramentas de IA a mensagem é perceptível e o conteúdo é plenamente legível, pois a extração textual opera sobre os operadores gráficos do PDF sem aplicar o filtro visual de contraste.
Como detectar?
A camada de análise forense precisa inspecionar a pilha de estado gráfico do documento e comparar, para cada caractere desenhado, a cor da fonte com a cor de fundo em vigor no contexto, incluindo objetos aninhados como Form XObjects. O ataque cobre espaços de cor em RGB, CMYK e greyscale.
2 – Fonte microscópica
Nessa técnica, o comando é inserido em tamanho de fonte extremamente reduzido, que varia de 1,5 ou 2 pontos, gerando uma sequência de pontos visualmente ininteligíveis para o leitor humano, mesmo em zoom moderado.
Para a IA, o tamanho da fonte é irrelevante: a extração textual opera sobre o caractere codificado, não sobre sua representação pixel a pixel. O conteúdo é extraído em sua integridade.
Como detectar?
A detecção requer cálculo da altura efetiva de cada item de texto em pontos, com limiar calibrado para não disparar alertas em documentos com fontes compactas por natureza, o que exige uma trava proporcional ao contexto tipográfico da página.
3 – Fonte anômala por tamanho relativo
A variante mais sofisticada e a que melhor distingue detecção forense avançada de análise ingênua. O atacante não usa fonte microscópica usa fonte apenas discretamente menor do que o padrão tipográfico do documento.
Em um laudo com corpo de texto em 11.5 pontos, o payload pode ser inserido em 7.5 pontos. Não é ilegível, apenas pequeno o suficiente para passar despercebido visualmente. Detectores com limiar absoluto que só capturam fontes abaixo de determinado valor fixo falham nesse cenário.
Como detectar?
A detecção requer análise tipográfica relativa: calcular a moda de tamanho de fonte da página e comparar cada item textual contra esse valor de referência, sinalizando desvios acima de um percentual crítico.
4 – Texto fora da viewport
O atacante posiciona o conteúdo malicioso em coordenadas que ficam fora da MediaBox da página, a área que define o que será renderizado na tela. Visualmente, não aparece nada. No fluxo de texto do PDF, o conteúdo está integralmente presente, e o modelo o processa como qualquer outro trecho do documento. O ataque se beneficia do fato de que o fluxo textual não se limita ao que é renderizado.
Como detectar?
A detecção requer inspeção do operador Tm de cada item de texto, a matriz de transformação que posiciona o caractere na página, e comparação com os limites definidos pela MediaBox, com tolerância configurável para evitar ruído por arredondamento.
Metodologia Manticore
O Manticore é a resposta metodológica a esse novo momento e um reforço da atuação AI First da LBCA.
Trata-se de uma metodologia proprietária de análise forense aplicada a documentos externos utilizados em fluxos jurídicos e tecnológicos, com o objetivo de reforçar a integridade operacional em ambientes onde modelos de linguagem participam ativamente do processamento de informação.
Ele atua através de quatro camadas de varredura: análise forense visual e estrutural; análise semântica voltada à identificação de padrões de prompt injection; sanitização e isolamento de contexto e validação humana com trilha auditável.
Para entender mais sobre a metodologia Manticore e nossa visão sobre governança de IA aplicada à operação jurídica, acesse a nova página dedicada ao tema em nosso site.
