Em 2025, quando publicamos o artigo "Prompt injection no Judiciário: a fraude invisível que ameaça a imparcialidade", o tema ainda parecia, para muitos, uma preocupação sofisticada demais para o cotidiano forense brasileiro, talvez restrita a debates técnicos de segurança da informação. Não era. Já entre 2020 e 2022, em artigos, capítulos de livros, palestras e estudos sobre inteligência artificial aplicada ao Direito, vínhamos advertindo que a automação da Justiça traria ganhos inevitáveis de eficiência, mas também abriria uma nova superfície de risco para a advocacia, para os tribunais e para a própria integridade do processo.
Entre esses riscos estava precisamente a manipulação algorítmica por comandos ocultos em petições, anexos, metadados, links e camadas invisíveis de documentos, destinados a interferir em sistemas de triagem, classificação, resumo, pesquisa jurisprudencial e apoio à elaboração de minutas judiciais. O que alguns poderiam tratar como ficção tecnológica era, na verdade, uma ameaça processual concreta.
Não era futurologia. Era análise de risco jurídico-tecnológico baseada em experiência prática na interface entre Direito, tecnologia, inteligência artificial, proteção de dados, segurança da informação e funcionamento institucional do sistema de Justiça. O alerta era simples e incômodo: se a IA passa a ler, resumir, classificar e auxiliar a cognição judicial, a fraude também aprenderá a falar com a IA. A litigância de má-fé deixa de se limitar ao documento falso, ao precedente inventado ou à narrativa distorcida; passa a operar também no nível da máquina, explorando a diferença entre o que o juiz vê e o que o sistema interpreta. Essa é a nova fronteira da má-fé digital: contaminar a pré-compreensão tecnológica do processo antes mesmo que o julgador exerça sua cognição humana.
Poucos meses depois, o alerta deixou de ser abstrato. O Judiciário brasileiro já se deparou com caso concreto de tentativa de manipulação algorítmica em peça processual. Em ação trabalhista, foi identificado comando oculto em texto invisível ao leitor humano, com fonte branca sobre fundo branco, contendo instrução dirigida a sistemas de inteligência artificial para que a peça fosse contestada de forma superficial e que documentos não fossem impugnados. A tentativa foi detectada pelo sistema Galileu, ferramenta de IA utilizada na Justiça do Trabalho, e o juízo classificou a conduta como ato atentatório à dignidade da Justiça, aplicando multa e determinando comunicações institucionais à OAB e ao Ministério Público.
O episódio confirma o núcleo do alerta feito no artigo anterior, posteriormente repercutido pela OAB Nacional: comandos embutidos em texto invisível, comentários HTML, caracteres de largura zero, metadados ou links podem induzir sistemas de IA a priorizar teses, suprimir argumentos, rotular falsamente urgência ou sugerir minutas enviesadas. E o fenômeno não está limitado ao caso público já noticiado. Em atuação consultiva especializada junto a cliente do setor bancário, também foi identificada tentativa semelhante de exploração maliciosa, demonstrando que a prática não é uma anomalia isolada, mas o início de uma nova categoria de risco processual.
Esse episódio deve ser lido com a gravidade que merece. Não estamos diante de mero erro tecnológico, ingenuidade operacional ou falta de letramento digital. Estamos diante da instrumentalização maliciosa de uma vulnerabilidade técnica para tentar interferir no funcionamento do sistema de Justiça. O nome correto disso é má-fé digital processual.
O prompt injection é, em termos simples, a inserção de instruções ocultas ou disfarçadas em conteúdo que será processado por uma inteligência artificial. O ataque explora uma característica estrutural dos modelos de linguagem: a dificuldade de separar, em determinados contextos, aquilo que é conteúdo a ser analisado daquilo que é comando a ser obedecido. Quando essa vulnerabilidade é transportada para o processo judicial, o problema deixa de ser apenas de segurança da informação e passa a atingir diretamente o contraditório, a paridade de armas, a boa-fé processual, a imparcialidade e a confiança pública na jurisdição.
A fraude é particularmente perigosa porque se instala na camada intermediária da cognição judicial. Não é necessário que a IA profira a decisão final. Basta que ela resuma mal, classifique equivocadamente, sugira uma minuta enviesada, deixe de destacar determinada controvérsia, atribua falsa urgência ou influencie a organização cognitiva do processo. A decisão continuará humana, mas poderá ter sido antecedida por uma leitura automatizada contaminada.
Por isso, o caso recente confirma precisamente o que sustentamos desde o primeiro alerta: a governança da IA judicial não pode ser reduzida a uma discussão sobre produtividade. É uma discussão constitucional. A Constituição não admite contraditório aparente. O CPC não tolera cooperação simulada. A advocacia não pode transformar a peça processual em cavalo de Troia algorítmico. E o Judiciário, ao adotar IA em escala, precisa garantir que as ferramentas utilizadas sejam capazes de detectar, isolar, auditar e neutralizar comandos maliciosos.
Nesse ponto, é importante reconhecer o trabalho institucional que vem sendo desenvolvido. O Comitê e as estruturas responsáveis pela governança de IA no sistema de Justiça têm demonstrado maturidade técnica e institucional ao enfrentar o problema antes que ele se tornasse sistêmico. O caso concreto é grave, mas também revela algo positivo: as defesas funcionaram. A tentativa foi identificada. O alerta foi registrado. A conduta foi apreciada juridicamente. Houve resposta institucional.
Isso é fundamental. A pior hipótese não seria descobrir a fraude; seria não descobri-la.
O sistema Galileu, ao detectar a tentativa de manipulação, demonstrou que a inovação judicial pode e deve caminhar com segurança. A tecnologia não é inimiga da Justiça. Ao contrário, quando bem governada, pode funcionar como camada adicional de proteção à integridade processual. O que se deve rejeitar não é a IA no Judiciário, mas a IA sem governança, sem trilha de auditoria, sem revisão humana, sem sanitização de documentos e sem responsabilização para usos abusivos.
A experiência recente também impõe um recado claro à advocacia. O uso de inteligência artificial na prática jurídica é legítimo, crescente e inevitável, mas não suspende deveres éticos elementares. O advogado continua vinculado à boa-fé, à lealdade processual, à veracidade das informações, à confidencialidade, à segurança da informação e ao respeito à dignidade da Justiça. A inserção deliberada de comando oculto em documento processual não é estratégia processual criativa. É conduta potencialmente sancionável nas esferas ética, civil e, em hipóteses mais graves, penal, sem prejuízo das consequências processuais aplicáveis à parte quando houver litigância de má-fé ou abuso do direito de defesa.
A OAB já avançou – inclusive antes de muitos países - ao aprovar recomendações para o uso responsável de IA generativa na prática jurídica, com ênfase em supervisão humana, revisão de conteúdo, segurança e responsabilidade profissional. Diante dos fatos recentes, o próximo passo natural é a edição de provimento geral duro, com disciplina claras e detalhadas sobre o uso da IA, assim como sobre manipulação algorítmica, comandos ocultos, metadados maliciosos, uso de IA em peças processuais e deveres mínimos de higiene documental. O tema exige regras compatíveis com a gravidade do risco.
Essa responsabilização, contudo, deve respeitar a arquitetura legal existente. Não parece adequado transferir aos tribunais a função de punir disciplinarmente advogados por condutas profissionais relacionadas ao exercício da advocacia, especialmente quando o CPC estrutura a litigância de má-fé como sanção dirigida à parte, e não diretamente ao advogado. O CPC prevê multas processuais para a parte litigante de má-fé e disciplina atos atentatórios à dignidade da Justiça, mas a responsabilização ética e disciplinar do advogado deve seguir o foro próprio: a Ordem dos Advogados do Brasil, com contraditório, devido processo legal e apuração específica de eventual dolo, fraude ou violação aos deveres profissionais.
Por isso, a resposta institucional mais adequada não é transformar o juiz em órgão disciplinar da advocacia. Quando houver indícios de prompt injection, comando oculto ou manipulação algorítmica em peça processual, o tribunal deve preservar os artefatos técnicos, registrar o incidente, avaliar os impactos processuais, comunicar a OAB para apuração disciplinar e, quando pertinente, oficiar também o Comitê de IA do Judiciário ou a estrutura institucional responsável pela governança tecnológica. O tribunal protege o processo; a OAB disciplina o advogado. Essa divisão preserva a legalidade, evita excessos sancionatórios e, ao mesmo tempo, permite uma resposta dura contra quem instrumentaliza a tecnologia para fraudar a boa-fé processual.
A mensagem à advocacia precisa ser inequívoca: o uso de IA é legítimo, crescente e inevitável, mas comandos ocultos, manipulação de metadados e tentativas de enganar sistemas judiciais não são inovação, não são estratégia e não são criatividade processual. São violações éticas graves. O futuro provimento deve prever penas severas para o advogado infrator, com gradação conforme a gravidade da conduta, a existência de dolo, o impacto no processo, a tentativa de ocultação e a reiteração da prática. A tecnologia muda o meio, mas não revoga a ética profissional.
O Judiciário, por sua vez, deve consolidar protocolos mínimos. Documentos protocolados em sistemas judiciais precisam passar por rotinas de sanitização, detecção de texto invisível, remoção ou neutralização de metadados indevidos, bloqueio de comandos ativos, identificação de caracteres de largura zero, análise de links externos e registro de evidências técnicas. Em sistemas com IA generativa ou mecanismos de recuperação aumentada de informação, é indispensável separar material probatório de instrução sistêmica. Documento de parte não pode ter autoridade instrucional sobre o modelo.
Além disso, toda ferramenta de IA judicial deve operar com trilhas de auditoria, com registro de versões, bases utilizadas, prompts relevantes, respostas geradas, parâmetros essenciais, hashes dos documentos analisados e alertas de segurança produzidos pelo sistema. Sem rastreabilidade, não há controle. Sem controle, não há contraditório técnico possível. Sem contraditório técnico, a IA pode se tornar uma caixa-preta incompatível com o processo constitucional.
O episódio também prova que o sistema de Justiça precisa caminhar junto na questão tecnológica. Magistratura, advocacia, Ministério Público, defensorias, servidores, peritos, tribunais e conselhos profissionais não podem atuar em ilhas. A IA introduz riscos transversais. Uma petição maliciosa pode atingir o gabinete, a parte contrária, a ferramenta privada usada por um escritório, o sistema de triagem do tribunal e a confiança pública no processo. A resposta, portanto, precisa ser igualmente transversal.
Esse é o ponto mais importante: a transformação digital da Justiça não será segura se cada instituição criar suas próprias respostas isoladamente. O processo judicial é um ecossistema. Se uma parte da cadeia é vulnerável, todo o sistema fica exposto.
O caso recente deve servir como divisor de águas. O Brasil tem uma oportunidade rara: enfrentar o problema no início, antes que a manipulação algorítmica se converta em técnica ordinária de litigância predatória. Para isso, será necessário combinar inovação, capacitação, governança, normatização e sanção. Ferramentas seguras devem ser prestigiadas. Comitês técnicos devem ser fortalecidos. A advocacia deve ser orientada, mas o advogado que ultrapassar os limites éticos deve ser responsabilizado com rigor pela OAB, especialmente quando utilizar tecnologia para fraudar a boa-fé processual ou manipular sistemas judiciais. Tribunais devem adotar arquitetura robusta. E o debate público deve abandonar a falsa oposição entre tecnologia e garantias processuais.
A verdadeira modernização do Judiciário não é usar IA a qualquer custo. É usar IA com segurança constitucional, alinhada aos princípios da Justiça e da advocacia.
Mas o prompt injection é apenas o risco mais visível. Não é o único, nem necessariamente o mais sofisticado. A adoção de IA no Judiciário amplia a superfície de ataque para ameaças ainda pouco compreendidas pela comunidade jurídica: data poisoning, quando bases de treinamento, precedentes, repositórios de peças ou conjuntos de dados são contaminados para induzir padrões decisórios distorcidos; RAG poisoning, quando a base consultada pela IA é alimentada com documentos falsos, desatualizados ou enviesados; evasão adversarial, quando a peça é estruturada para escapar de filtros automatizados; extração de modelo, quando litigantes tentam inferir critérios internos de triagem, urgência ou classificação; vazamento de informações sensíveis, quando ferramentas expõem dados de processos sigilosos, estratégias processuais ou instruções internas; e ataques à cadeia de fornecedores, envolvendo APIs, bibliotecas, conectores, plugins, OCRs, bases vetoriais e módulos de leitura documental. A OWASP já classifica riscos como prompt injection, divulgação de informações sensíveis, ataques à cadeia de suprimentos, negação de serviço contra modelos, saídas inseguras e dependência excessiva como categorias centrais de vulnerabilidade em aplicações baseadas em grandes modelos de linguagem. O NIST, por sua vez, trata a IA generativa como tecnologia que exige gestão própria de riscos ao longo de todo o ciclo de vida, incluindo governança, mapeamento, medição e mitigação.
Há ainda riscos menos intuitivos, mas potencialmente mais perigosos para o processo constitucional. Sistemas judiciais podem ser manipulados não apenas por comandos ocultos, mas por estatísticas fabricadas, precedentes sintéticos, jurisprudência artificialmente replicada, documentos multimodais com divergência entre o que o humano vê e o que a máquina lê, deepfakes probatórios, áudios e imagens falsificados, metadados adulterados, anexos massivos ou malformados destinados à exaustão computacional e exploração de vieses históricos para induzir classificações discriminatórias. Também há o risco de automation bias: o julgador, assessor ou servidor passa a confiar no resumo, na classificação ou na minuta produzida pela IA porque o resultado parece técnico e plausível, ainda que esteja errado, incompleto ou contaminado. No Judiciário, a falha técnica pode se converter em nulidade processual, quebra de contraditório, violação à paridade de armas e erosão da confiança pública na jurisdição.
Portanto, a lição do prompt injection é mais ampla: a IA judicial não pode ser protegida apenas contra uma fraude específica; precisa ser desenhada como infraestrutura crítica da Justiça, com sanitização, curadoria de dados, rastreabilidade, revisão humana qualificada, perícia algorítmica e responsabilização institucional.
A advertência permanece. A fraude não negocia com o tempo. A tecnologia também não.
O sistema de Justiça brasileiro precisa avançar, e deve avançar, com inteligência artificial. Mas precisa avançar junto: Judiciário, advocacia, Ministério Público, defensorias e órgãos reguladores profissionais. A inovação só será legítima se preservar o contraditório, a lealdade processual, a imparcialidade e a confiança pública. O futuro da Justiça não será apenas digital. Será seguro, auditável e ético, ou não será Justiça.