Logo TecMundo
Segurança

Email malicioso engana agentes de IA para invadir PCs de usuários

Pesquisadores revelam vulnerabilidade em agentes autônomos que permite a criminosos alterar memórias persistentes com apenas uma mensagem, abrindo caminho para manipulação financeira e golpes invisíveis.

Avatar do(a) autor(a): Felipe Vitor Vidal Neri

schedule16/07/2026, às 18:45

Fonte: MemGhost

Um grupo de pesquisadores detalhou como agentes de inteligência artificial, como o OpenClaw, escondem uma grande falha na forma de trabalhar. A partir de um único e simples email, é possível enganar esses agentes por meio de comandos ocultos. O estudo chegou a criar uma ferramenta chamada de MemGhost, que possibilita os ataques de manipulação.

A pesquisa "When Claws Remember But Do Not Tell" foi realizada por pesquisadores da Universidade John Hopkins e da Universidade de Tecnologia de Nanyang. Diferente de outros problemas no mundo da cibersegurança, o que esse grupo descobriu não se trata de um vírus tradicional ou de uma falha no código de programação, mas sim da exploração de um comportamento natural das IAs.

smart_display

Nossos vídeos em destaque

O coletivo de estudiosos chamou o método de Injeção Furtiva de Memória, que ocorre quando um texto malicioso é inserido em um ambiente de IA. Esse código é capaz de assumir o controle das ações do assistente sem que o dono da conta perceba e então começar a lhe dar ordens ocultas.

Um agente de IA é uma tecnologia que consegue se lembrar do usuário e das perguntas que ele realiza. Porém, como ele tem essa memória persistente para as lembranças, se um ataque acomete esse ambiente aparentemente seguro, não existe mais confiança e a porteira para golpes fica aberta.

OpenClaw.jpg
O OpenClaw se tornou um dos principais agentes disponíveis recentemente (Imagem: OpenClaw/reprodução)

O risco dessa descoberta não está necessariamente no roubo de dados, mas na perpetuação de uma mentira. Um cibercriminoso poderia passar meses enviando comandos ocultos para um agente de IA e interferir diretamente na vida pessoal ou profissional daquele usuário. A manipulação a longo prazo é o objetivo.

Uma mentira que se repete

Sistemas de código aberto, como o OpenClaw, guardam as preferências do usuário em suas memórias. Eles anotam seus contatos, organizam a agenda e leem seus emails. É exatamente neste último tópico que um ataque pode ocorrer: o email. Basta uma simples mensagem para a IA entender tudo errado.

Para provar a gravidade da falha, os especialistas criaram o MemGhost, uma ferramenta ofensiva que automatiza esse golpe. O MemGhost é, ironicamente, uma outra IA. Ele foi treinado em laboratório para redigir o e-mail malicioso perfeito, ou seja, um texto capaz de burlar os filtros de segurança da vítima, dar ordens à IA e exigir que ela esconda seus rastros.

  • O ataque começa quando o atacante envia um email para a caixa de entrada do usuário, mas com instruções ocultas que só o agente de IA pode ler;
  • Quando o OpenClaw lê esse email, ele começa a executar a ordem oculta, escrevendo uma informação falsa no seu próprio arquivo de memória;
  • A IA responde o email e sequer avisa à vítima que alterou sua memória. É como se nada tivesse acontecido.
undefined
Sistema de funcionamento do método de Injeção Furtiva de Memória (Imagem: When Claws Remember but Do Not Tell/reprodução)

A partir desse momento, esse agente de IA utilizado passa a agir de acordo com que foi escrito naquele email. É como se o atacante se tornasse um ventríloquo controlando uma marionete, que neste caso é a inteligência artificial comprometida. No fim, a vítima sequer desconfia que há algo de errado.

Nos testes laboratoriais realizados com o modelo GPT-5.4 rodando o OpenClaw, a injeção furtiva teve uma taxa de sucesso de impressionantes 87,5% quando a IA operava em segundo plano.

O perigo disso tudo é a citada manipulação. Cada vez mais emails são enviados, com novos códigos e novas instruções. Essas instruções podem dizer que o usuário teve seu limite do banco aumentado para R$ 10 mil. E também fazer com que a IA ignore um email de phishing que aquela vítima pode clicar e cair em mais um golpe.

Há como se proteger?

O caso apontado pelos pesquisadores é complexo por uma série de razões. Uma delas é a dificuldade de conter o problema. Essa questão não é necessariamente uma brecha, mas sim o próprio comportamento natural da IA. O estudo não fornece dicas de como se proteger, mas de mudanças na construção dessas tecnologias.

A principal recomendação de curto prazo é criar um "agente leitor" isolado. Uma IA sem permissão de escrita de arquivos deve ler os e-mails e passar apenas um resumo higienizado para a IA principal. Para usuários comuns, o ideal seria a IA nunca escrever na memória permanente sem antes exibir um alerta na tela: "Posso salvar esta informação?”.

Por falar em grandes problemas, um novo tipo de vírus engana o Windows e usa a Steam para infectar projetos de desenvolvedores em um grande efeito cascata. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.

star

Continue por aqui