Brecha em navegadores com IA pode levar a roubo de dados, contas e até dinheiro

Siga o Olhar Digital no Google Discover

Tudo sobre Inteligência Artificial

ver mais

Pesquisadores de cibersegurança identificaram um truque voltado para navegadores com inteligência artificial (IA). Eles chamaram o novo golpe de “falsificação de barra lateral de IA”. A ideia é simples e perigosa: criar respostas falsas que se passam pela assistente embutida no navegador, como se a própria IA orientasse o usuário.

Ofertas

Vendido por Amazon

Carregador Fonte para Notebook Asus 19V 2.37A 45W com Pino Fino 4.0x1.35mm, compatível com VivoBook X543ua X543ma X515 X512 X510U ZenBook 14 UX433FA UX431FA X512F, referência Ad2108020 bivolt

De: R$ 67,44
Por: R$ 59,95

Vendido por Amazon

Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 4.699,00
Por: R$ 3.099,00

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais

De: R$ 1.049,00
Por: R$ 799,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite

De: R$ 499,90
Por: R$ 349,90

Vendido por Amazon

eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal

De: R$ 2.399,00
Por: R$ 2.159,00

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas

De: R$ 88,00
Por: R$ 45,00

Vendido por Amazon

Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais

De: R$ 399,00
Por: R$ 379,00

Vendido por Amazon

Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza

De: R$ 1.629,90
Por: R$ 1.239,90

Vendido por Amazon

ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens

De: R$ 1.179,00
Por: R$ 943,20

Vendido por Amazon

eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3

De: R$ 999,00
Por: R$ 798,99

Vendido por Amazon

WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria

De: R$ 329,90
Por: R$ 205,91

Vendido por Amazon

WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS

De: R$ 599,90
Por: R$ 476,10

Vendido por Amazon

Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco

De: R$ 1.199,00
Por: R$ 1.139,05

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Cis Cola Em Bastão Fix 34 Gramas, Blister

De: R$ 9,60
Por: R$ 7,60

Vendido por Amazon

Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)

Por R$ 38,70

Vendido por Amazon

Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)

De: R$ 31,40
Por: R$ 21,77

Vendido por Amazon

Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10

De: R$ 21,00
Por: R$ 16,63

Vendido por Amazon

Tilibra - Estojo Box Académie Cinza

De: R$ 106,90
Por: R$ 59,95

Vendido por Amazon

Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)

Por R$ 34,90

Vendido por Amazon

Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite

De: R$ 9,90
Por: R$ 7,20

Vendido por Amazon

Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa

De: R$ 169,90
Por: R$ 139,90

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2

De: R$ 149,90
Por: R$ 119,90

Vendido por Amazon

Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco

De: R$ 699,00
Por: R$ 398,99

Vendido por Amazon

Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto

De: R$ 109,90
Por: R$ 79,90

Vendido por Amazon

Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite

De: R$ 299,90
Por: R$ 199,90

O ataque se apoia num hábito que só cresce: confiar sem pensar duas vezes nas instruções da IA. A demonstração mostrou que a técnica funciona em dois navegadores populares entre esses com IA embutida: o Comet, da Perplexity; e o Atlas, da OpenAI. 

Essa confiança vira arma: a falsa resposta empurra o usuário para ações arriscadas, que vão de cliques em links suspeitos a acessos a sites de phishing.

Extensões maliciosas criam barras laterais falsas e manipulam respostas da IA

A falsificação da barra lateral parte de um ponto simples: tanto o Comet, da Perplexity, quanto o Atlas, da OpenAI, podem ser enganados se o usuário instalar uma extensão maliciosa. Os pesquisadores mostraram o ataque funcionando nos dois, ainda que o Comet ajude a ilustrar melhor a mecânica. 

Isso ocorre num momento em que a IA virou peça central da navegação. Entre 2023 e 2024, a ideia de usar IA para transformar a pesquisa na web saiu do laboratório e entrou no navegador. Primeiro, como barras laterais suplementares – casos do Microsoft Edge Copilot e do Brave Leo. Depois, como o coração da interface.

Esse último salto aconteceu em 2025, quando o Comet surgiu já desenhado para conversar com a IA o tempo inteiro. Nele, a barra lateral é onde tudo acontece. 

Em outubro do mesmo ano, a OpenAI lançou o Atlas, apostando na mesma lógica: uma assistente integrada que lê a página, analisa o conteúdo e responde ali mesmo, sem o usuário precisar abrir novas abas. 

Na prática, é um ambiente que te condiciona a confiar. Você pede um resumo, uma explicação rápida, uma comparação de dados e a IA entrega. Essa naturalidade é justamente o terreno fértil explorado por cibercriminosos.

O golpe começa onde quase todos começam: na instalação de uma extensão aparentemente inofensiva. As permissões que ela pede (ver e modificar dados dos sites visitados, além de acessar o armazenamento local do navegador) soam padrão demais para levantar suspeita. 

Uma vez dentro, a extensão injeta JavaScript na página e cria uma barra lateral falsa, virtualmente idêntica à original. Essa cópia conversa de verdade com o modelo legítimo (nos testes, o Google Gemini, embora o ChatGPT funcionasse tão bem quanto). E mostra respostas corretas quase o tempo todo. 

O truque está no “quase”. Em temas definidos pelo criminoso, a extensão troca a resposta por instruções, comandos ou links maliciosos. E como dezenas de extensões duvidosas passam pelas verificações da Chrome Web Store, a chance de alguém instalar uma delas é bem alta.

Falsificação da barra lateral de navegadores com IA pode levar a roubo, sequestro de contas e invasão de dispositivos

A falsificação da barra lateral abre um leque enorme de possibilidades para quem quer causar dano. Os pesquisadores mostraram isso com três cenários bem diretos – todos viáveis porque o usuário acredita estar falando com uma IA legítima. 

O primeiro envolve carteiras de criptomoedas, o segundo mira contas Google e o terceiro compromete todo o sistema com um simples comando adulterado.

No ataque contra criptomoedas, o usuário apenas pergunta como vender seus ativos na Binance. A barra lateral falsa responde com um passo a passo completo e oferece um link que parece idêntico ao real. 

No entanto, só parece. Ele leva para um domínio de phishing extremamente convincente. Ao inserir login e 2FA, o usuário entrega tudo. E os invasores conseguem acesso total à conta, o que abre caminho para esvaziar a carteira em segundos. O golpe funciona porque nada, na superfície, destoa do comportamento esperado de um assistente de IA.

O segundo cenário mira a conta Google. A IA falsa apresenta um link para um serviço fictício de compartilhamento de arquivos. A página pede login com Google e, após o clique, redireciona o usuário para a página legítima de autenticação (movimento para reforçar a sensação de segurança). 

O perigo surge na etapa seguinte. O aplicativo falso solicita acesso total ao Gmail e ao Google Drive. Se o usuário aperta/clica em “Permitir”, abre as portas para que invasores leiam e-mails, ajustem configurações, criem e enviem mensagens em seu nome e baixem todos os arquivos armazenados. 

Neste golpe, cibercriminosos podem roubar documentos, acessar serviços vinculados e até se passar pelo dono da conta para espalhar novos ataques.

O terceiro exemplo mostra o risco da sugestão de comandos pela própria IA. O usuário pergunta como instalar um aplicativo e a resposta parece normal: um guia de instalação plausível, com cada etapa bem explicada. 

Só que, no último passo, o comando real é trocado por um “reverse shell”, código que abre uma porta para controle remoto. Se o usuário copia e executa, o dispositivo fica comprometido.

Com isso, o cibercriminoso pode baixar dados, monitorar atividades, instalar malware e prolongar a invasão. É um lembrete de como uma única linha de código alterada numa interface confiável pode entregar um sistema inteiro.

Atualmente, esse tipo de ataque segue no campo teórico. Mas a distância entre hipótese e prática diminuiu muito nos últimos anos. Os próprios pesquisadores alertam, num post do blog da Kaspersky, que é “bastante possível” alguém já estar desenvolvendo uma extensão maliciosa desse tipo. 

Leia mais:

• Práticas de segurança de gigantes da IA ficam aquém dos padrões globais, aponta relatório
• 4 extensões do Chrome para evitar usar no navegador
• 6 dicas para reduzir seus rastros na internet

A defesa, portanto, volta ao básico:

• Conferir comandos e links antes de seguir qualquer recomendação da IA;
• Se for código, copie e pesquise o que ele faz em outro navegador, sem IA embutida;
• Evite instalar extensões desnecessárias e remova as que não usa mais;
• Leia avaliações de usuários (extensões maliciosas costumam acumular críticas negativas antes de sumirem da loja);
• Nunca insira credenciais sem checar o domínio (erros de digitação e sufixos estranhos são sinais claros de golpe). 

Última dica: deixe suas proteções automáticas ligadas para bloquear sites de phishing e avisar quando algo suspeito acontecer.