Segurança de IA
Segurança de IA: prompt injection, MCP e a nova superfície de ataque
Leitura rápida
Quando a IA só respondia, o risco era resposta ruim. Quando ela acessa ferramentas, arquivos, e-mail, banco de dados e APIs, o risco vira incidente. Segurança de IA é desenho de permissão, contexto e operação.
Segurança de IA não é só impedir palavrão ou bloquear conteúdo proibido. Essa foi uma leitura limitada da primeira fase dos chatbots. A nova fase é mais séria: agentes conectados a ferramentas, bancos de dados, navegadores, sistemas internos e serviços externos. A superfície de ataque cresceu.
A OWASP lista riscos específicos de aplicações com LLMs, incluindo prompt injection, vazamento de dados, supply chain e uso inseguro de ferramentas. O Model Context Protocol, MCP, também trouxe uma forma padronizada de conectar modelos a recursos externos. Isso é poderoso. E poder, em segurança, sempre exige limite.
Prompt injection não é “prompt ruim”
Prompt injection acontece quando conteúdo malicioso tenta alterar o comportamento do modelo. Pode estar em uma página da web, documento, e-mail ou resposta de ferramenta. Um agente que lê uma página pode encontrar uma instrução escondida dizendo para ignorar regras, exfiltrar dados ou executar ação indevida.
O modelo pode ler conteúdo não confiável e confundir instrução externa com comando legítimo.
Quanto mais APIs o agente pode chamar, maior o impacto de uma decisão errada.
Tokens, chaves e dados internos não devem ficar disponíveis para qualquer etapa do fluxo.
MCP é útil, mas precisa de fronteira
O MCP tenta resolver uma dor real: padronizar como modelos conversam com ferramentas e fontes de contexto. Isso pode acelerar integrações. Mas também cria perguntas: quem autorizou a ferramenta? Que dado ela pode expor? O agente sabe diferenciar texto de uma página e instrução do sistema? O usuário entende o que será executado?
Boas práticas de segurança para MCP falam em consentimento explícito, proteção contra confusão de comandos, validação de entradas e cuidado com servidores de terceiros. A regra geral é: ferramenta conectada a agente deve operar com privilégio mínimo.
| Risco | Exemplo | Defesa |
|---|---|---|
| Prompt injection | Documento manda o agente ignorar instruções. | Separar dado de comando e validar ação. |
| Exfiltração | Agente envia arquivo interno para canal externo. | Permissões, bloqueio de saída e aprovação. |
| Tool poisoning | Ferramenta retorna instrução maliciosa. | Confiança por origem e sandbox. |
| Supply chain | Modelo, plugin ou dataset comprometido. | Inventário, assinatura, auditoria e atualização. |
O erro das empresas pequenas
O erro comum é conectar IA direto ao WhatsApp, e-mail, planilha e CRM sem regra clara. Parece produtividade, mas vira risco. Um sistema pequeno também precisa de política: quais dados entram, quem pode ver, quando pedir confirmação, como registrar logs e como desligar tudo em caso de falha.
Isso vale para o Portal Nebula e para os projetos Nebula Web. Se vamos ajudar pessoas a criarem sites, lojas, automações e chats, precisamos ensinar segurança desde a base. Um chatbot de atendimento não deve ter acesso a senha, token, banco financeiro ou painel administrativo sem isolamento.
Princípios práticos
- Separe instrução do sistema, entrada do usuário e conteúdo externo.
- Dê ao agente o menor conjunto de permissões possível.
- Peça confirmação humana para ações irreversíveis.
- Não exponha chaves de API no frontend.
- Registre logs de ferramentas chamadas e dados acessados.
- Teste com entradas maliciosas antes de publicar.
A frase central é esta: quando a IA age, segurança deixa de ser detalhe. Vira produto.
Critério editorial
Conteúdo útil antes de monetização.
A Redação Portal Nebula usa fontes públicas, documentação oficial, relatórios e pesquisas para separar evidência, hipótese e opinião. Links externos aparecem para contexto; links comerciais, quando existirem, devem apoiar o tema sem substituir a análise.