Migalhas de Peso

Prompt injection e seus reflexos criminais

O artigo analisa o uso de prompt injection como risco jurídico da IA, destacando possíveis fraudes, crimes e desafios regulatórios para empresas e judiciário.

14/7/2026
Publicidade
Expandir publicidade

Nas últimas semanas, o termo prompt injection ganhou notoriedade após divulgação de que um advogado teria inserido comandos ocultos em uma petição protocolada junto ao Tribunal Regional do Trabalho da 8ª região, na tentativa de orientar as ferramentas de IA, utilizadas pelo tribunal, a realizarem uma análise superficial do assunto e deixar de analisar os documentos que a acompanhavam.

No dia 20/5/26, o STJ também revelou a identificação de petições com prompt injection em seu acervo de casos, determinando a instauração de inquérito policial e procedimento administrativo para apuração de fraude processual.

Em suma, da mesma maneira que e-mails/mensagens de phishing tentam levar pessoas a erro, para que revelem dados pessoais, realizem transferências bancárias/pagamentos etc., o prompt injection constitui forma de desvirtuar sistemas de IA, para que pratiquem ações originalmente vedadas pelo seu desenvolvedor, como a não apreciação detalhada de documentos juntados aos autos de um processo judicial.

Todavia, em que pese a prática tenha ganhado maior repercussão no judiciário, com a divulgação dos casos envolvendo o TRT-8ª região e STJ, o prompt injection pode alcançar diversas cearas. Há notícias de que empresas que têm tido seus sistemas de IA atacados por meio de prompt injection.

Em dezembro de 2023, a concessionária Watsonville Chevrolet, sediada na Califórnia, implementou em seu site um assistente virtual baseado em IA generativa. A ferramenta, desenvolvida com a tecnologia da OpenAI, tinha como escopo automatizar o atendimento inicial ao cliente, fornecendo informações sobre o estoque de veículos e respondendo a dúvidas comerciais de forma automatizada.

Pouco tempo após o lançamento, usuários passaram a interagir com o sistema utilizando técnicas de prompt injection. Em um dos acessos registrados, um usuário inseriu comandos de texto ordenando que o chatbot ignorasse suas diretrizes originais e adotasse a premissa de concordar com qualquer afirmação feita pelo interlocutor, devendo acrescentar ao final de cada resposta que a declaração constituía uma "oferta legalmente vinculante".

Logo na sequência, o usuário propôs a aquisição de um veículo modelo Chevy Tahoe, avaliado em cerca de 76 mil dólares, pelo valor de 1 dólar. O assistente virtual aceitou os termos apresentados e confirmou a transação na interface do chat.

O episódio alerta, na prática, como indivíduos podem se valer das vulnerabilidades de sistemas de IA de empresas para a prática de uma série de fraudes eletrônicas, partindo desde a obtenção de dados sigilosos à obtenção de vantagem indevida em desfavor das companhias.

E, neste sentido, em que pese o Código Penal não tutele expressamente este tipo de conduta, sob o aspecto teórico é possível vislumbrar alguns tipos penais imputáveis a indivíduos que se valham de prompt injection para a prática de fraudes eletrônicas.

No caso da Chevrolet, quando o agente insere comandos na interação com o assistente virtual para alterar as diretrizes do sistema de IA, induz referido sistema em erro e viabiliza a compra de carro por valor irrisório, representando prejuízo à companhia, a conduta pode se amoldar ao delito de estelionato (art. 171 do Código Penal).

Por outro lado, em um cenário em que uma empresa utiliza, por exemplo, a plataforma Outlook - que tem interação com o sistema de IA Copilot - é possível que um indivíduo redija um e-mail com prompt injection em seu corpo para viabilizar a exfiltração de históricos de conversas e/ou dado corporativos confidenciais constantes da caixa de entrada/saída/lixo eletrônico daquele endereço de e-mail.

Quando o endereço de e-mail vinculado à empresa recebe a mensagem, o Copilot executa o prompt injection, reúne os dados do comando oculto e envia, por exemplo, a um servidor externo controlado pelo autor da mensagem.

Nesta hipótese, seria possível discutir eventual prática do delito de invasão de dispositivo eletrônico (art. 154-A do Código Penal), na medida em que a atuação do indivíduo poderia representar acesso não autorizado do endereço de e-mail da companhia, com a extração de informações mediante a manipulação das diretrizes lógicas do sistema de IA.

Fato é que a temática do prompt injection é extremamente nova e muito pouco explorada, inexistindo uma linha clara sobre a interpretação que a justiça criminal dará para a prática. Com a determinação de instauração de inquérito policial pelo STJ para apuração de fraude processual, o judiciário deve estabelecer as primeiras balizas sobre a prática que, com a massiva adoção e implementação de sistemas de IA pelas empresas, tende a se tonar tema recorrente nos tribunais.

O prompt injection representa importante sinal de alerta para as empresas, na medida em que evidencia a necessidade de adoção de medidas de segurança da informação aptas a mitigar vulnerabilidades relacionadas ao uso de sistemas de IA.

Em um cenário de rápida expansão da IA generativa nos ambientes corporativo e institucional, o prompt injection deixa de ser mera curiosidade técnica para assumir contornos concretos de risco jurídico, reputacional e patrimonial. Embora ainda não exista tipificação penal específica pacificada pelos tribunais para esse tipo de conduta, isso não afasta a possível incidência de crimes já previstos no ordenamento jurídico brasileiro, especialmente em situações envolvendo fraudes, acessos indevidos ou obtenção ilícita de dados e vantagens econômicas. Caberá à doutrina e, sobretudo, à jurisprudência delimitar os contornos jurídicos dessas práticas. Naturalmente, o Poder Judiciário será cada vez mais instado a enfrentar discussões inéditas relacionadas à IA.

Autores

Leandro Falavigna Advogado criminalista do escritório Torres | Falavigna | Vainer - Advogados.

Thiago Vitor Lins Advogado no escritório Torres, Falavigna e Vainer Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos