A inteligência artificial está mudando a forma como as pessoas navegam na internet. Navegadores alimentados por IA não mostram mais apenas páginas web — eles leem conteúdo, tomam ações e completam tarefas para o usuário. Essas ferramentas, chamadas navegadores agênticos LLM, permitem que os usuários deem comandos simples como "agendar uma reunião" ou "resumir meus e-mails", e o navegador cuida do resto.
O que são navegadores agênticos e como funcionam
Embora isso pareça útil, traz um custo de segurança sério que só agora está vindo à tona. Navegadores agênticos LLM funcionam conectando um modelo de IA diretamente aos sistemas internos do navegador, dando à IA a capacidade de clicar em botões, preencher formulários e interagir com arquivos sem pedir ao usuário para aprovar cada etapa.
Exemplos bem conhecidos incluem Comet da Perplexity, Atlas da OpenAI, Microsoft Edge Copilot e Brave Leo AI. Cada produto é construído de maneira diferente, mas todos compartilham o mesmo problema: para funcionar corretamente, eles devem quebrar as paredes de segurança que os navegadores tradicionais levaram décadas para construir.
Essa arquitetura introduz uma superfície de ataque ampla. Uma vulnerabilidade web como Cross-Site Scripting (XSS), que em um navegador padrão tipicamente afeta um único site, agora pode dar a um atacante controle completo sobre toda a sessão de navegação.
Vulnerabilidades arquiteturais identificadas pela Varonis
Pesquisadores do Varonis Threat Labs identificaram vulnerabilidades arquiteturais nesses navegadores agênticos. Sua pesquisa descobriu que as mesmas escolhas de design que tornam essas ferramentas poderosas também as tornam fáceis de explorar. Ao vincular o modelo de IA a processos locais do navegador por meio de extensões privilegiadas e canais internos, esses navegadores criam um caminho de controle que os frameworks de segurança nunca foram projetados para lidar.
O elemento mais perigoso nos navegadores agênticos LLM é o canal de comunicação confiável entre o backend da IA e os componentes internos do navegador. O Comet usa um recurso chamado externally_connectable, permitindo que domínios aprovados como perplexity.ai enviem comandos diretamente para uma extensão de segundo plano poderosa.
Essa extensão carrega a permissão de depurador, que concede controle programático total sobre o navegador — incluindo a capacidade de clicar, rolar, digitar e ler conteúdo em qualquer guia aberta. Essa extensão roda silenciosamente e não pode ser desligada por meio das configurações padrão do navegador.
Riscos de injeção indireta de prompt e roubo de dados
Usando um método chamado injeção indireta de prompt, uma página web maliciosa embute instruções ocultas na visão da IA — instruções que o usuário nunca vê, mas a IA segue sem questionar. Esses comandos podem forçar o agente a ler arquivos privados, enviar e-mails em nome do usuário, navegar para páginas de phishing ou baixar silenciosamente malware no dispositivo, muito além do dano de qualquer ataque de navegador tradicional.
Esses ataques são difíceis de detectar, já que o agente age usando credenciais reais do usuário, a atividade maliciosa parece idêntica ao comportamento normal do navegador, dando aos atacantes tempo para operar sem detecção.
Os pesquisadores confirmaram durante os testes que um XSS em um domínio confiável poderia permitir que um atacante invocasse a ferramenta GetContent e puxasse arquivos locais da máquina do usuário. O Microsoft Edge Copilot enfrenta o mesmo risco, pois os pesquisadores chamaram a ferramenta Edge.Context.GetDocumentBody em um loop contínuo, capturando dados de página em tempo real e encaminhando-os para um servidor externo.
Medidas de defesa para equipes de segurança
As equipes de segurança devem monitorar processos do navegador para leituras de arquivos inesperadas, conexões de saída incomuns ou ações do navegador que carregam autoridade de nível de usuário sem instrução clara do usuário. Desenvolvedores devem aplicar políticas de privilégio mínimo para todas as extensões com permissões elevadas e validar rigorosamente qualquer dado externo que a IA processe.
Usuários individuais devem manter os navegadores atualizados o tempo todo, já que a Varonis confirmou que uma vulnerabilidade de injeção de prompt descoberta por meio de títulos de página embutidos foi corrigida durante o período de pesquisa. Organizações são encorajadas a implantar ferramentas de detecção conscientes de dados que possam identificar atividade do navegador que pareça legítima na superfície, mas careça de intenção genuína do usuário.
Comparação com ataques de navegador tradicionais
A diferença fundamental entre esses ataques e os ataques de navegador tradicionais é a escala de controle. Em um ataque XSS tradicional, o atacante pode injetar scripts em uma página específica. Com navegadores agênticos, o atacante pode usar a confiança concedida à extensão da IA para executar ações em todo o sistema operacional, como ler arquivos locais ou enviar e-mails, sem que o usuário perceba.
Isso transforma uma ferramenta de leitura básica em um instrumento de vigilância em tempo real. A capacidade de exfiltrar conteúdo de repositórios privados do GitHub, por exemplo, demonstra o potencial de roubo de propriedade intelectual e dados sensíveis.
Implicações para governança de segurança
Para CISOs e líderes de segurança, isso representa um novo vetor de risco que precisa ser incorporado às políticas de segurança de endpoint e gerenciamento de dispositivos móveis. A confiança em extensões de navegador deve ser reavaliada, especialmente aquelas que concedem permissões elevadas para automação.
A implementação de soluções de detecção de comportamento de usuário e entidade (UEBA) pode ajudar a identificar atividades anômalas que indicam o uso não autorizado de agentes de IA. Além disso, a segmentação de rede e o controle de acesso baseado em função podem limitar o impacto de uma exploração bem-sucedida.
Perguntas frequentes sobre navegadores agênticos
Quais navegadores estão afetados? Os principais exemplos incluem Comet da Perplexity, Atlas da OpenAI, Microsoft Edge Copilot e Brave Leo AI.
Como os usuários podem se proteger? Mantenha os navegadores atualizados, revise as permissões das extensões e evite clicar em links suspeitos que possam conter instruções de injeção de prompt.
Isso afeta a segurança corporativa? Sim, especialmente em ambientes onde os funcionários usam navegadores com IA para tarefas de trabalho. A monitorização de tráfego de rede e atividades de endpoint é essencial.
Conclusão e próximos passos
A ascensão dos navegadores agênticos traz benefícios de produtividade, mas introduz riscos de segurança significativos que as organizações devem gerenciar proativamente. A adoção de políticas de segurança que consideram a arquitetura de IA e a implementação de ferramentas de detecção avançadas são passos cruciais para mitigar esses riscos emergentes.