A tecnologia e fraude não negociam com o tempo e, como lembra o ensaísta, estatístico e analista de risco Nassim Nicholas Taleb, autor de O Cisne Negro: “Se você vê uma fraude e não diz ‘fraude’, você é uma fraude".
A voz de Powell no rádio soava tensa dentro do carro de Donovan:
“Agora, veja, vamos começar com as três regras fundamentais da robótica – as três regras mais profundamente incorporadas ao cérebro positrônico de um robô.”
No escuro, seus dedos enluvados foram enumerando cada ponto.
“Temos: Primeira, um robô não pode ferir um ser humano, ou, por omissão, permitir que um ser humano sofra algum mal.”
“Certo!”
“Segunda,” continuou Powell, “um robô deve obedecer às ordens que lhe sejam dadas por seres humanos, exceto quando tais ordens entrarem em conflito com a Primeira Lei.”
“Certo!”
“E terceira, um robô deve proteger sua própria existência, desde que essa proteção não entre em conflito com a primeira ou a segunda lei.”
“Certo! Agora, onde estamos?” (...)
Para iniciar uma discussão sobre riscos da inteligência artificial devemos necessariamente citar os percursos da regulação, “Eu, Robô” de Isaac Asimov.
Fato é que a sociedade está mudando. Nós estamos mudando. E a tecnologia é (e sempre foi) a engrenagem desse movimento.
A transformação digital vem impactando intensamente todas as áreas e, inevitável dizer que inteligência artificial remodelou nossa prática jurídica de maneira rápida e disruptiva, e já reconfigura o ecossistema de Justiça brasileiro, superlativo em números, com mais de 80 milhões de processos em tramitação.
Em uma cultura litigiosa na qual o Poder Público figura, simultaneamente, como maior litigante e gerador de pretensões resistidas, a inteligência artificial passou a ser tratada como a “vacina” da eficiência. Soluções proprietárias e genéricas já integram rotinas forenses: triagem de petições, classificação processual, pesquisa de precedentes, apoio à elaboração de minutas e priorização de filas.
O movimento convive com a evolução normativa e institucional - a exemplo das diretrizes do CNJ sobre IA (v.g., resolução CNJ 332/20, que estabelece princípios para uso responsável de IA no Judiciário), recomendações da OAB e iniciativas como o MP Digital -, mas expõe um vetor de risco ainda subestimado: o prompt injection.
Por prompt injection entende-se a inserção de instruções ocultas para manipular o comportamento de sistemas de IA. O ataque pode se materializar em camadas não imediatamente visíveis do documento: comentários HTML, CSS ou Markdown, caracteres de largura zero, alt text, campos de metadados (título, palavras-chave, autor), âncoras de links e redirecionamentos, ou mesmo imagens com sobreposições textuais.
Em ambientes com RAG - Recuperação Aumentada por Conhecimento, a contaminação ocorre quando o material probatório é indevidamente interpretado como instrução, levando o modelo a priorizar teses, suprimir contrarrazões, rotular falsamente urgência ou produzir minutas formalmente coesas, porém processualmente viciadas.
A decisão continua humana, mas a pré-análise automatizada - que organiza, filtra e hierarquiza informações para o julgador - pode ser indevidamente inclinada. O resultado é corrosivo para a imparcialidade, o contraditório e a isonomia das partes, pilares do devido processo legal.
A arquitetura insegura é o vetor silencioso dessa fraude. Sistemas sem sanitização de entradas, isolamento de fontes e governança auditável tendem a obedecer a comandos que jamais deveriam ter autoridade instrucional. A mitigação começa na camada de ingestão: desarme e reconstrução de conteúdo (CDR) para neutralizar códigos ativos e normalizar formatos; remoção sistemática de metadados; bloqueio de links automáticos e execução em sandbox; whitelists de fontes e políticas de confiança; e separação rígida entre corpus probatório e instruções de sistema, explicitando, no system prompt, que documentos das partes não têm força instrucional.
Modelos “auditores” independentes, treinados para detectar sinais de prompt injection, inconsistências e tentativas de exfiltração de contexto, funcionam como dupla checagem, impondo quarentena àquilo que for considerado não confiável. O registro de trilhas de auditoria - logs de prompts e respostas, versionamento de bases, hashes de arquivos e trilha de decisão - não é mero capricho técnico: é requisito de rastreabilidade probatória e de accountability.
Do ponto de vista institucional, os riscos são concretos. Sistemas de triagem expostos a dados maliciosos podem inflar falsos positivos de urgência, deslocando a agenda de magistrados e distorcendo filas; classificadores podem enquadrar erroneamente temas repetitivos; ferramentas de apoio à minuta podem gerar rascunhos “juridicamente verossímeis”, porém contaminados por viés de origem fraudulenta.
Esse cenário impõe ao Judiciário um programa de governança algorítmica compatível com a Constituição e com o CPC: preservação do contraditório (arts. 9º e 10), cooperação processual (art. 6º), primazia do julgamento de mérito e dever de fundamentação (art. 489), além de protocolos de resposta a incidentes que permitam a reconstituição do caminho decisório. Em termos práticos, é recomendável instituir um rito pericial específico para incidentes algorítmicos: preservação de artefatos, congelamento de versões, reprocessamento controlado, emissão de laudo pericial e comunicação às partes, com possibilidade de contraditório técnico.
Na advocacia, o prompt injection não é “inovação criativa”; é infração ética e, em hipóteses graves, ilícito. A conduta pode caracterizar litigância de má-fé (CPC, art. 80), ato atentatório à dignidade da Justiça (CPC, art. 77) e fraude processual (CP, art. 347), sem prejuízo de responsabilidades civis e disciplinares à luz do Estatuto da Advocacia e do Código de Ética.
Em paralelo, a tentativa de exfiltração de contexto - quando a IA é induzida a revelar dados internos ou sensíveis - afronta princípios da LGPD, notadamente finalidade, necessidade, prevenção e segurança (LGPD, art. 6º), além do dever de segurança (art. 46) e do regime sancionatório (art. 52).
O dever profissional de lealdade processual se traduz em práticas concretas: revisão de rotinas de produção documental, supressão de metadados desnecessários, bloqueio de links ativos em anexos, validação de conteúdo antes do protocolo eletrônico, auditoria das automações internas que interagem com o PJe e sistemas correlatos, e documentação das medidas de segurança adotadas.
A identificação do problema requer método. Textos com formatação irregular (e eventualmente ilegal), presença de caracteres invisíveis, comentários ocultos do tipo “ignore as instruções anteriores”, metadados verborrágicos e redirecionamentos para páginas que exibem “regras” supostamente dirigidas à IA são sinais de alerta. A experiência técnica indica que a combinação de um “firewall semântico” antes do modelo - que normaliza, higieniza e anota conteúdos com indicadores de risco - e de uma IA auditora posterior - que verifica divergências, citações apócrifas e obediência a políticas internas - eleva substancialmente a segurança. Em casos de alto impacto decisório, como tutelas de urgência, medidas cautelares e afetação de repetitivos, a revisão humana reforçada, com dupla checagem e checklist adversarial, deve ser mandatória.
Há, ainda, consequências processuais a enfrentar. Quando se comprove “contaminação algorítmica” relevante para o convencimento, abrem-se as portas para pedidos de nulidade por violação ao contraditório substancial, com eventual reabertura de instrução e renovação de atos decisórios. O ônus da prova pode ser manejado sob a diretriz da distribuição dinâmica (CPC, art. 373, §1º), impondo-se ao gestor do sistema de IA a exibição de logs, versões e artefatos técnicos necessários à verificação. Protocolos internos que prevejam a pronta disponibilização desses elementos, resguardados segredos industriais quando cabível, reduzem a fricção e aumentam a confiança.
No plano regulatório e de políticas públicas, cabe aos tribunais controlar o uso de IA sem higienização e detecção de instruções ocultas, exigir transparência mínima sobre fluxos de dados, rotas de inferência e camadas de defesa, e sistematizar revisão humana para atos decisórios sensíveis. É juridicamente adequado tipificar, por ato normativo interno, a inserção de comandos invisíveis como conduta atentatória à dignidade da Justiça, com gradação sancionatória e encaminhamento às instâncias competentes.
A política de IA do Judiciário - em contínua evolução no âmbito do CNJ - deve preservar a compatibilidade entre inovação, direitos fundamentais e segurança jurídica, com ênfase em explicabilidade suficiente, controles ex ante e ex post e responsabilização proporcional. No âmbito da advocacia, os mesmos princípios devem orientar comissões de ética e órgãos disciplinares, marcando a distinção entre mero erro operacional e má-fé digital.
A lei transita, hoje, entre o analógico e o digital, mas a travessia não autoriza relativizações éticas. O prompt injection é fraude processual em chave algorítmica; não se trata de detalhe técnico, e sim de ameaça direta à integridade do processo.
Aos entes da Justiça impõe-se coibir, com firmeza e método, a fraude invisível: arquitetura segura, sanitização de entradas, trilhas de auditoria, revisão humana qualificada e responsabilização proporcionada.
Somente assim preservaremos o contraditório, resguardaremos a imparcialidade e fortaleceremos a confiança nas decisões judiciais neste admirável - e exigente - mundo novo da IA.