Um grupo de pesquisadores detalhou como agentes de inteligência artificial, como o OpenClaw, escondem uma grande falha na forma de trabalhar. A partir de um único e simples email, é possível enganar esses agentes por meio de comandos ocultos. O estudo chegou a criar uma ferramenta chamada de MemGhost, que possibilita os ataques de manipulação.A pesquisa "When Claws Remember But Do Not Tell" foi realizada por pesquisadores da Universidade John Hopkins e da Universidade de Tecnologia de Nanyang. Diferente de outros problemas no mundo da cibersegurança, o que esse grupo descobriu não se trata de um vírus tradicional ou de uma falha no código de programação, mas sim da exploração de um comportamento natural das IAs.O coletivo de estudiosos chamou o método de Injeção Furtiva de Memória, que ocorre quando um texto malicioso é inserido em um ambiente de IA. Esse código é capaz de assumir o controle das ações do assistente sem que o dono da conta perceba e então começar a lhe dar ordens ocultas.Um agente de IA é uma tecnologia que consegue se lembrar do usuário e das perguntas que ele realiza. Porém, como ele tem essa memória persistente para as lembranças, se um ataque acomete esse ambiente aparentemente seguro, não existe mais confiança e a porteira para golpes fica aberta.O OpenClaw se tornou um dos principais agentes disponíveis recentemente (Imagem: OpenClaw/reprodução)O risco dessa descoberta não está necessariamente no roubo de dados, mas na perpetuação de uma mentira. Um cibercriminoso poderia passar meses enviando comandos ocultos para um agente de IA e interferir diretamente na vida pessoal ou profissional daquele usuário. A manipulação a longo prazo é o objetivo.Uma mentira que se repeteSistemas de código aberto, como o OpenClaw, guardam as preferências do usuário em suas memórias. Eles anotam seus contatos, organizam a agenda e leem seus emails. É exatamente neste último tópico que um ataque pode ocorrer: o email. Basta uma simples mensagem para a IA entender tudo errado.Para provar a gravidade da falha, os especialistas criaram o MemGhost, uma ferramenta ofensiva que automatiza esse golpe. O MemGhost é, ironicamente, uma outra IA. Ele foi treinado em laboratório para redigir o e-mail malicioso perfeito, ou seja, um texto capaz de burlar os filtros de segurança da vítima, dar ordens à IA e exigir que ela esconda seus rastros.O ataque começa quando o atacante envia um email para a caixa de entrada do usuário, mas com instruções ocultas que só o agente de IA pode ler;Quando o OpenClaw lê esse email, ele começa a executar a ordem oculta, escrevendo uma informação falsa no seu próprio arquivo de memória;A IA responde o email e sequer avisa à vítima que alterou sua memória. É como se nada tivesse acontecido.Sistema de funcionamento do método de Injeção Furtiva de Memória (Imagem: When Claws Remember but Do Not Tell/reprodução)A partir desse momento, esse agente de IA utilizado passa a agir de acordo com que foi escrito naquele email. É como se o atacante se tornasse um ventríloquo controlando uma marionete, que neste caso é a inteligência artificial comprometida. No fim, a vítima sequer desconfia que há algo de errado.Nos testes laboratoriais realizados com o modelo GPT-5.4 rodando o OpenClaw, a injeção furtiva teve uma taxa de sucesso de impressionantes 87,5% quando a IA operava em segundo plano.O perigo disso tudo é a citada manipulação. Cada vez mais emails são enviados, com novos códigos e novas instruções. Essas instruções podem dizer que o usuário teve seu limite do banco aumentado para R$ 10 mil. E também fazer com que a IA ignore um email de phishing que aquela vítima pode clicar e cair em mais um golpe.Há como se proteger?O caso apontado pelos pesquisadores é complexo por uma série de razões. Uma delas é a dificuldade de conter o problema. Essa questão não é necessariamente uma brecha, mas sim o próprio comportamento natural da IA. O estudo não fornece dicas de como se proteger, mas de mudanças na construção dessas tecnologias.A principal recomendação de curto prazo é criar um "agente leitor" isolado. Uma IA sem permissão de escrita de arquivos deve ler os e-mails e passar apenas um resumo higienizado para a IA principal. Para usuários comuns, o ideal seria a IA nunca escrever na memória permanente sem antes exibir um alerta na tela: "Posso salvar esta informação?”.Por falar em grandes problemas, um novo tipo de vírus engana o Windows e usa a Steam para infectar projetos de desenvolvedores em um grande efeito cascata. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.