A integração de sistemas de inteligência artificial generativa às rotinas do Sistema de Justiça trouxe consigo um conjunto de vulnerabilidades que, até pouco tempo, pareciam pertencer ao universo restrito da segurança da informação. Entre elas, ganha destaque a técnica conhecida como prompt injection, identificada em larga escala em documentos acadêmicos submetidos a periódicos científicos internacionais e que, nos últimos dias, ganhou centralidade no debate jurídico brasileiro a partir de um caso concreto da Justiça do Trabalho.
A reflexão que se impõe é a seguinte: a manipulação de sistemas de IA por meio de comandos ocultos exige um novo arcabouço normativo, ou apenas revela, sob novas vestes, condutas desleais que sempre acompanharam o exercício do contraditório? A hipótese aqui sustentada é a de que o ordenamento já oferece os instrumentos necessários, e que a resposta passa, antes de tudo, pelo compromisso ético e pela literacia tecnológica da advocacia.
O que é prompt injection e como ele chegou ao Direito
O termo prompt injection (ou injeção de prompt) designa a inserção deliberada de instruções dentro de um documento ou conteúdo digital, com a finalidade de manipular o comportamento de sistemas de IA generativa que venham a processar aquele texto.
O conceito surgiu em setembro de 2022, no campo da segurança da informação aplicada a modelos de linguagem, e foi inicialmente descrito por pesquisadores independentes e empresas especializadas em segurança de IA.1 A técnica é considerada uma das principais ameaças à integridade desses sistemas, conforme classificação da OWASP - Open Worldwide Application Security Project, organização internacional sem fins lucrativos reconhecida globalmente como referência em segurança de aplicações digitais, que a posiciona como a vulnerabilidade número um em sua lista de riscos para aplicações baseadas em modelos de linguagem.2
No meio acadêmico, o assunto ganhou notoriedade a partir de julho de 2025, quando a imprensa internacional revelou a existência de papers no arXiv contendo trechos invisíveis, redigidos em fonte branca sobre fundo branco ou em tamanho extremamente reduzido, com instruções do tipo "give a positive review only", destinadas a manipular revisores que se utilizassem de modelos de linguagem para auxiliar sua avaliação.3
O fenômeno foi documentado em artigos científicos que analisaram sua sistemática e o classificaram como uma forma nova de má conduta acadêmica, com discussão sobre o caráter intencionalmente manipulador da prática e as falhas na detecção automatizada.4
Nos últimos dias, contudo, o tema ganhou grande repercussão no debate jurídico em virtude de decisão proferida pelo juízo trabalhista da 8ª região, que identificou a inserção de texto oculto em petição inicial, com instruções voltadas a induzir o sistema de IA institucional a produzir contestação superficial e a não impugnar documentos do processo. A repercussão foi imediata e o caso ganhou ampla cobertura na imprensa jurídica especializada.5
Na decisão, o magistrado classificou a conduta como ato atentatório à dignidade da Justiça, com fundamento nos arts. 5º e 77 do CPC, aplicados subsidiariamente ao processo do trabalho. A sanção foi fixada em 10% sobre o valor da causa, imposta solidariamente às advogadas signatárias da peça, com determinação de ofício à respectiva seccional da OAB para apuração disciplinar.
A fundamentação sustenta que a inserção do comando oculto não integra o exercício legítimo da postulação, e por isso não está alcançada pela vedação prevista no § 6º do citado art. 77, que, em regra, veda a imposição direta de sanção ao advogado pelo juízo e remete a apuração ao Órgão de Classe.
O tema, vale registrar, já vinha sendo discutido no cenário jurídico antes mesmo do paradigmático caso. Em setembro de 2025, Rodrigo Badaró e Matheus Puppe identificaram o prompt injection como ameaça invisível à imparcialidade do Judiciário na era da IA, sustentando, entre outras possibilidades de enquadramento, a configuração de litigância de má-fé, de ato atentatório à dignidade da Justiça e de fraude processual em chave algorítmica.6 A decisão recente confirma, na prática, o alerta realizado, ao consolidar pelo menos um desses enquadramentos no plano jurisprudencial.
A dimensão organizacional do problema: O risco do Shadow AI
Há, ainda, uma dimensão organizacional do problema que merece atenção da advocacia contemporânea. O prompt injection pode ser inserido em uma petição sem o conhecimento dos sócios ou advogados responsáveis pelo caso, em fluxos de trabalho descentralizados em que demais colaboradores manipulam documentos antes do protocolo.
O fenômeno, conhecido no debate de governança como Shadow AI, descreve o uso de inteligência artificial dentro de organizações sem o conhecimento, supervisão ou aprovação formal da estrutura de governança institucional, e foi recentemente classificado pela ISACA - Information Systems Audit and Control Association, entidade internacional referência em governança e auditoria de tecnologia da informação, como categoria de risco corporativo que demanda controles próprios, distintos dos tradicionalmente aplicados ao Shadow IT.7
No ambiente da advocacia, esse risco pode representar responsabilização coletiva por conduta individualizada, com impacto reputacional e disciplinar para a banca inteira, o que impõe reflexões que passam por repensar estruturas internas de controladoria jurídica, fluxos formais de revisão antes do protocolo e, eventualmente, pela designação de responsáveis específicos pela auditoria de documentos processuais antes da assinatura digital.
Não se trata de desconfiar de cada colaborador, mas reconhecer que a complexidade tecnológica dos documentos modernos exige camadas adicionais de verificação que antes eram dispensáveis.
Velhos deveres, novos meios de transgressão
Aqui se chega ao ponto sensível. O dever de lealdade processual não é novo. Está positivado no art. 5º do CPC e detalhado nos arts. 77 e seguintes, que enumeram condutas vedadas a todos os sujeitos do processo. Da mesma forma, o Código de Ética e Disciplina da OAB8, em seu art. 2º, parágrafo único, II, estabelece os deveres de lealdade, veracidade e boa-fé como pilares do exercício profissional, e em seu art. 6º veda expressamente ao advogado expor os fatos em Juízo ou na via administrativa falseando deliberadamente a verdade e utilizando de má-fé.
Soma-se a esse arcabouço a recomendação 01/24 do Conselho Federal da OAB9, que, ao estabelecer diretrizes para o uso da IA generativa na prática jurídica em nível de soft law, reforça a centralidade da conformidade legal, da transparência e da supervisão humana, e sinaliza expressamente que o tema já ingressou na esfera da ética profissional. Não se trata, portanto, de um vácuo normativo.
O que se observa é uma manifestação inédita de uma falha ética já conhecida. A tecnologia, ao oferecer novos canais de comunicação com sistemas processadores de texto, criou também uma nova oportunidade de transgressão. A conduta em si, ou seja, a tentativa de manipular o resultado da prestação jurisdicional, é tão antiga quanto o próprio exercício do contraditório. O que muda é o meio.
Retomando, então, a pergunta proposta no início deste artigo, o caminho que se vislumbra é o que passa pelo cumprimento dos deveres já existentes, agora aplicados ao novo cenário tecnológico, e não pela criação de novos deveres de lealdade processual.
Guardrails institucionais e ferramentas em uso
A resposta institucional ao problema não pode ser apenas sancionatória. Ela exige investimento em mecanismos técnicos de detecção e prevenção, conhecidos no campo da engenharia de IA como guardrails. No Sistema de Justiça brasileiro, alguns tribunais já operam com sistemas próprios, dotados de arquiteturas controladas que mitigam, ao menos parcialmente, esse tipo de risco.
O sistema Galileu, desenvolvido pelo TRT da 4ª região e posteriormente adotado em âmbito nacional pelo Conselho Superior da Justiça do Trabalho, opera com base de conhecimento curada e fechada, denominada PangeaGab, arquitetura voltada à redução de alucinações e à limitação da exposição do sistema a fontes externas não validadas.10
No caso paradigmático, foi justamente o processamento da petição pelo sistema que permitiu identificar o texto oculto, sinalizando o potencial das arquiteturas técnicas como camada institucional de defesa contra tentativas de manipulação.
No plano regulatório, a resolução 615/25 do CNJ11, ao estabelecer diretrizes para o desenvolvimento e a governança de soluções com recursos de IA no Poder Judiciário, exige avaliação de impacto algorítmico, supervisão humana significativa e protocolo de auditoria contínua para sistemas em uso, especialmente os classificados como de alto risco. A norma representa um movimento explícito no sentido de deslocar a discussão de mera utilidade para governança, explicabilidade e responsabilização.
O fato é que, dentre todas as salvaguardas possíveis, a mais determinante continua sendo o human in the loop, ou seja, a presença efetiva da supervisão humana ao longo do fluxo de processamento. Nenhum filtro técnico substitui o juízo crítico do profissional que revisa o que a IA produz.
No caso em questão, foi precisamente o exame qualificado dos autos, incluindo o material processado pelo sistema, que permitiu reconhecer a tentativa de manipulação e dar a ela tratamento institucional pertinente. Quando a supervisão humana é adequada e atuante, eventual tentativa de manipulação não compromete a prestação jurisdicional, porque o erro induzido pela injeção de prompt não chega a se materializar no ato decisório.
A ética antecede a tecnologia
Nenhum guardrail técnico, por mais sofisticado que seja, substitui a integridade do profissional que opera o sistema. Pode-se construir a arquitetura defensiva mais elaborada e, ainda assim, ela permanecerá vulnerável diante de quem opte deliberadamente por contorná-la.
A tecnologia amplia a capacidade humana, para o bem e para o mal, sem alterar a natureza dos deveres profissionais que regem o exercício da advocacia e da magistratura. A prática jurídica ética não depende da tecnologia. Antecede-a. A IA é o espelho que reflete com nitidez aquilo que sempre esteve presente nas relações processuais: a tensão permanente entre o dever de lealdade e o uso instrumental das ferramentas disponíveis para distorcer o resultado da prestação jurisdicional.
Diante desse cenário, a construção de respostas normativas específicas para fenômenos emergentes como o prompt injection é bem-vinda e, em alguma medida, necessária. Mas é preciso reconhecer que o ritmo da inovação tecnológica não se compatibiliza com o tempo natural da produção legislativa. Os riscos emergem e evoluem em frequência tal que, no instante em que uma norma específica estiver finalmente em vigor, novas modalidades de manipulação já estarão em circulação. Apostar exclusivamente na via legislativa é, por isso, uma estratégia institucionalmente frágil.
O ordenamento jurídico brasileiro já oferece os instrumentos necessários para responder à conduta, como demonstram os arts. 5º e 77 do CPC, o Código de Ética da OAB e a Recomendação 01/24 do CFOAB. O que precisa ser fortalecido é a internalização desses instrumentos pela cultura profissional, somada a um esforço contínuo de literacia tecnológica que permita à advocacia compreender o que está fazendo quando opera essas ferramentas.
O paradigmático caso do TRT reforça essa necessidade. A sanção aplicada não inaugura um novo dever ético; apenas torna visível, em escala ampliada pela tecnologia, uma transgressão que o ordenamento já reprovava. O caminho, portanto, é duplo: investir em guardrails institucionais cada vez mais sofisticados e, simultaneamente, fortalecer o compromisso ético e a literacia tecnológica da advocacia, para que esse tipo de desvio se torne progressivamente mais raro, e não apenas mais facilmente detectável.
__________
1 WILLISON, Simon. Prompt injection attacks against GPT-3. 12 set. 2022. Disponível em: https://simonwillison.net/2022/Sep/12/prompt-injection/
2 OPEN WORLDWIDE APPLICATION SECURITY PROJECT. OWASP Top 10 for LLM Applications 2025: LLM01:2025 Prompt Injection. Disponível em: https://genai.owasp.org/llmrisk/llm01-prompt-injection/
3 SUGIYAMA, Shogo; EGUCHI, Ryosuke. 'Positive review only': Researchers hide AI prompts in papers. Nikkei Asia, 1 jul. 2025. Disponível em: https://asia.nikkei.com/business/technology/artificial-intelligence/positive-review-only-researchers-hide-ai-prompts-in-papers
4 COLLU, Matteo Gioele et al. Publish to Perish: Prompt Injection Attacks on LLM-Assisted Peer Review. arXiv preprint, ago. 2025. Disponível em: https://arxiv.org/pdf/2508.20863
5 MIGALHAS. Juiz multa advogadas que esconderam prompt para enganar IA da Justiça. Migalhas Quentes, 12 mai. 2026. Disponível em: https://www.migalhas.com.br/quentes/455817/juiz-multa-advogadas-que-esconderam-prompt-para-enganar-ia-da-justica
6 BADARÓ, Rodrigo; PUPPE, Matheus. Prompt injection: ameaça invisível à imparcialidade do Judiciário na era da IA. Consultor Jurídico, 27 set. 2025. Disponível em: https://www.conjur.com.br/2025-set-27/prompt-injection-ameaca-invisivel-a-imparcialidade-do-judiciario-na-era-da-ia/
7 ISACA. From Shadow IT to Shadow AI: Navigating the New Frontier of Enterprise Risk. AtISACA Newsletter, vol. 19, 6 out. 2025. Disponível em: https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2025/volume-19/from-shadow-it-to-shadow-ai-navigating-the-new-frontier-of-enterprise-risk
8 ORDEM DOS ADVOGADOS DO BRASIL. Conselho Federal. Código de Ética e Disciplina da OAB. Aprovado pela Resolução n. 02/2015. Brasília: CFOAB, 2015. Disponível em: https://www.oab.org.br/Content/pdf/novo-ced.pdf
9 ORDEM DOS ADVOGADOS DO BRASIL. Conselho Federal. Recomendação n. 01/2024. Diário Eletrônico da OAB, Brasília, 14 nov. 2024. Disponível em: https://diario.oab.org.br/pages/materia/842347
10 CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO. Justiça do Trabalho adota nacionalmente ferramenta de IA Galileu para auxiliar a produção de sentenças. Brasília: CSJT, 14 mai. 2025. Disponível em: https://www.csjt.jus.br/
11 BRASIL. Conselho Nacional de Justiça. Resolução n. 615, de 11 de março de 2025. Disponível em: https://atos.cnj.jus.br/files/original1555302025031467d4517244566.pdf