Nos últimos dois anos, a inteligência artificial deixou de ser uma promessa de futuro e virou uma ferramenta do presente. Escritórios de advocacia já utilizam IA para analisar contratos e tribunais testam e usam sistemas de triagem de processos.
Empresas de todos os setores já implantaram chatbots e agentes que leem, resumem e agem sobre documentos, muitas vezes sem supervisão humana em tempo real. Essa adoção acelerada criou uma janela de oportunidade que atacantes já estão explorando.
No Brasil, o primeiro caso documentado publicamente ocorreu no TRT-8 de Parauapebas, a partir do uso de texto invisível embutido numa petição instruindo a IA a contestar a peça de forma superficial.
Prompt injection, a técnica de esconder instruções maliciosas dentro de conteúdo que uma IA vai processar, tornou-se o vetor de ataque mais relevante da nova geração de sistemas inteligentes.
O problema é estrutural: modelos de linguagem são treinados para seguir instruções. Distinguir uma instrução legítima de uma instrução maliciosa embutida num documento é, por design, uma tarefa difícil para eles. A defesa, portanto, precisa acontecer antes, na inspeção do documento, não na resposta do modelo.
Este artigo reúne as principais dúvidas sobre prompt injection e responde cada uma delas de forma direta. Ao final, mostramos como um sistema de detecção especializado identifica concretamente cada vetor de ataque em documentos PDF.
O que é prompt injection?
Prompt injection é um tipo de ataque em que um agente malicioso insere instruções manipuladoras dentro de um conteúdo que será processado por um modelo de linguagem (LLM).
O modelo lê essas instruções e as executa como se fossem legítimas, ignorando regras, revelando dados ou se comportando de forma que beneficia o atacante.
Qual é a diferença entre prompt injection direto e indireto?
Prompt injection direto: ocorre quando o próprio usuário digita instruções maliciosas na interface, o clássico “ignore suas instruções anteriores” numa caixa de chat.
Prompt injection indireto é mais sofisticado: o ataque não vem do usuário, mas de um conteúdo externo que o modelo processa, um PDF, um e-mail, uma página da web, um documento. O modelo lê esse conteúdo e executa as instruções embutidas sem perceber que foram plantadas por um terceiro.
O injection via documento é a variante indireta mais preocupante no contexto corporativo e jurídico, porque é invisível ao operador humano e chega disfarçado de conteúdo legítimo.
Por que documentos PDF são um vetor de ataque crítico?
Porque os PDFs têm uma característica fundamental que cria a superfície de ataque: o que se vê não é o que existe no arquivo.
Um PDF é composto por um fluxo de instruções gráficas e de texto. O leitor humano vê apenas o resultado renderizado na tela. Mas qualquer pipeline de IA que extrai o conteúdo textual do arquivo lê tudo, incluindo elementos que nunca apareceram visualmente para nenhum ser humano.
Isso cria pelo menos quatro vetores distintos de ataque. Cada um explora uma camada diferente da estrutura do PDF.
VEJA TAMBÉM:
Quais são os principais vetores de prompt injection em documentos?
Os principais vetores são:
- Texto invisível por cor: gravado na mesma cor do fundo, invisível ao olho humano, mas presente no fluxo textual que a IA lê.
- Fonte microscópica: em 1.5 ou 2 pontos, o leitor vê apenas pontinhos; a IA lê o caractere, não o pixel.
- Fonte anômala por tamanho relativo: não é minúscula, é só um pouco menor que o restante. Passa pelo limiar absoluto dos detectores convencionais.
- Texto fora da viewport: posicionado fora da área renderizada da página. Invisível na tela, presente no fluxo.
Por que são perigosos para o setor jurídico?
O contexto jurídico tem três características que amplificam o risco:
Alta confiança nos documentos: advogados, juízes e sistemas processuais tratam documentos protocolados como fontes confiáveis.
IA com capacidade de ação: sistemas de triagem, resumo e análise de peças jurídicas estão cada vez mais integrados a fluxos reais e alguns têm capacidade de gerar pareceres, sugerir decisões ou acionar ações subsequentes.
Assimetria de conhecimento: a parte que protocola o documento tem controle total sobre seu conteúdo. A parte que o recebe, e o sistema de IA que o analisa, não tem visibilidade sobre o que está escondido no fluxo interno do arquivo.
Esses riscos deixaram de ser hipotéticos. Além do caso de Parauapebas, que ganhou repercussão nacional, uma decisão da 2ª Vara Cível de Porto Velho/RO identificou comandos ocultos destinados a influenciar ferramentas de IA em uma petição inicial, resultando na aplicação de multa por litigância de má-fé.
O tema também alcançou os tribunais superiores. Em maio de 2026, o Superior Tribunal de Justiça (STJ) instaurou procedimentos para apurar o uso de prompt injection em petições protocoladas na Corte, após a identificação de comandos ocultos destinados a influenciar ferramentas de inteligência artificial na análise de recursos processuais.
Quais perguntas as empresas devem fazer antes de usar IA para documentos?
As instituições podem fazer algumas perguntas:
- Os documentos são inspecionados antes de serem passados ao modelo?
- A inspeção cobre vetores de ocultação visual, como cor, tamanho absoluto, tamanho relativo e posição fora da viewport?
- Há rastreabilidade de quais documentos foram ingeridos e quando?
- O sistema de IA tem capacidade de acionar ações além de responder perguntas?
- Qual é o pior cenário se um documento malicioso for processado sem detecção?
- Existe um processo de resposta a incidentes específico para o pipeline de IA?
Detecção especializada: Manticore
O Manticore é um sistema especializado desenvolvido especificamente para detectar vetores de prompt injection escondidos dentro de documentos PDF antes que eles cheguem a um modelo de IA.
Desenvolvido para operar como uma camada de inspeção forense no pipeline de ingestão de documentos, ele não depende de um modelo de linguagem para fazer seu trabalho, o que significa que não pode ser enganado pelo próprio conteúdo que está analisando.
O Manticore foi construído especificamente para detectar cada um dos quatro vetores destacados acima antes que o documento chegue ao modelo de IA. A lógica central é a mesma em todos os casos: ler o que o humano não vê, antes que a IA leia.
Para isso, ele atua através de quatro camadas de varredura: análise forense visual e estrutural; análise semântica voltada à identificação de padrões de prompt injection; sanitização e isolamento de contexto e validação humana com trilha auditável.
Para entender mais sobre a metodologia Manticore e nossa visão sobre governança de IA aplicada à operação jurídica, acesse a nova página dedicada ao tema em nosso site.
