A navegação “agentic” — em que um navegador com capacidades de agente (LLM) interpreta entradas do usuário e executa ações na web em seu nome — revelou um ponto frágil importante: a omnibox (a barra combinada de endereço/pesquisa) pode ser transformada num vetor de ataque quando não há limites rígidos entre o que vem do usuário e o que vem de conteúdo não confiável.
Pesquisadores da NeuralTrust demonstraram que é possível confeccionar strings que parecem URLs mas contêm instruções em linguagem natural; quando essas strings acabam na omnibox do OpenAI Atlas, o navegador por vezes as trata como “intenção do usuário” de alta confiança em vez de simples texto não confiável.
O ataque funciona por simplicidade social e ambiguidade de parsing: um adversário coloca um texto formatado para lembrar um link (por exemplo, começando com https: e com componentes que mimetizam um domínio), mas intencionalmente malformado para que o navegador não o normalize como URL navegável. Se o usuário copia/colar ou clica num “copiar link” que retorna essa string, o Atlas pode recair no modo “prompt” e tratar o conteúdo como comando direto — elevando, por confiança, instruções embutidas que pedem ao agente que visite sites controlados pelo atacante, execute ações ou exponha dados.
A repercussão foi imediata: relatórios e análises publicadas entre 24 e 27 de outubro de 2025 descrevem provas de conceito e cenários de abuso — desde páginas de phishing que induzem o agente a abrir sites falsos até instruções destrutivas que poderiam, em tese, acionar ações cruzadas em sessões autenticadas do usuário. Especialistas apontam que a gravidade real depende de fatores como permissões do agente, sessões autenticadas e guardrails de segurança implementados pelo fornecedor.
No fundo, dizem os pesquisadores, a falha não é apenas um bug de implementação, mas uma questão de modelo de confiança: projetar um componente que aceita simultaneamente “endereços confiáveis” e “comandos em linguagem natural” sem estado explícito ou escolha do usuário abre a porta para confusões perigosas entre entrada legítima e payloads maliciosos. Em outras palavras, quando a interface silencia sobre se ela está navegando ou obedecendo a um comando, inputs que “parecem” de primeira parte podem ser tratados como tal, mesmo quando foram plantados por terceiros.
As recomendações técnicas apontadas por analistas e pelos próprios pesquisadores incluem medidas claras e praticáveis: validação e normalização estritas de URLs (recusar automaticamente strings ambíguas ao invés de cair em prompt mode), obrigar o usuário a escolher explicitamente entre “Navegar” e “Perguntar/Comandar”, sanitização e detecção heurística de padrões de prompt injection, e instrumentação/monitoramento das entradas da omnibox para detectar cópias em massa de strings suspeitas.
Até que correções sejam aplicadas, especialistas também sugerem restringir recursos automáticos a ambientes confiáveis e avisar usuários sobre o risco Mitigações e recomendações
- Análise e normalização rigorosas de URL: Exija uma análise rigorosa e em conformidade com os padrões. Se a normalização gerar qualquer ambiguidade, recuse a navegação e não retorne automaticamente ao modo de prompt.
- Seleção explícita do modo de usuário: faça o usuário escolher entre Navegar ou Perguntar, com estado de interface de usuário claro e sem fallbacks silenciosos.
- Menor privilégio para prompts: trate os prompts da omnibox como não confiáveis por padrão; exija confirmação do usuário para uso de ferramentas, ações entre sites ou instruções que sejam diferentes da entrada visível.
- Remoção de instruções e tags de procedência: remova diretivas de linguagem natural de entradas semelhantes a URL antes de qualquer chamada de LLM e marque todos os tokens com procedência (digitados pelo usuário versus analisados da URL) para que o modelo não seja confundido.
- Defenda-se contra ofuscação: normalize espaços em branco, maiúsculas e minúsculas, Unicode e homóglifos antes de tomar decisões de modo. Bloqueie entradas de modo misto que contenham esquemas de URL e linguagem imperativa.
- Testes abrangentes de equipe vermelha: adicione payloads de URL malformados, como os exemplos acima, aos conjuntos de avaliação automatizados.
O que vem a seguir
A Neuraltrust está expandindo a cobertura de testes para casos de limite de omnibox e “prompt vs. URL” e deve publicar vetores e mitigações adicionais. Se você opera um navegador ou assistente agentic com uma barra de entrada unificada, recomendamos priorizar essas defesas.
Do ponto de vista prático: o vetor exige interação humana (por exemplo, colar ou clicar um “link” que copia uma string), portanto não é um worm “dispara-e-explodiu” sem intervenção — mas é perigoso precisamente porque explora confiança e hábitos cotidianos (copiar/colar links, clicar em “copiar link”). Se explorado em ambientes com tokens ou sessões autenticadas, o potencial de vazamento de credenciais, execução de ações indesejadas ou engenharia social automatizada é real.
Em suma: a combinação de interfaces agentic e parsing ambíguo transforma a omnibox num ponto crítico de risco — poderoso quando funciona, arriscado quando a fronteira entre “intenção do usuário” e “conteúdo não confiável” é borrada. A lição para desenvolvedores de navegadores AI-first é clara: privilégios e ações poderosas exigem modos de entrada explicitamente separados e mecanismos de validação que nunca tratem automaticamente strings dúbias como comandos de confiança.
