Google Gemini agora pode controlar seu computador. Os hackers já estão visando agentes de IA
O Google mudou o “uso do computador” de um modelo especializado para o Google Gemini 3.5 Flash, tornando o controle de navegadores, aplicativos e fluxos de trabalho de desktop no estilo do agente um recurso integrado em vez de um produto separado. Isso significa que o Gemini agora pode ver e interagir com as interfaces do usuário, raciocinar sobre o que está na tela do computador e realizar ações diretas. Um cientista sênior do Google DeepMind alertou recentemente que agentes de IA em escala criam incentivos “para que pessoas mal-intencionadas façam coisas maliciosas”.
Os desenvolvedores agora podem criar agentes que fazem muito mais do que chamar APIs. Eles podem automatizar fluxos de trabalho somente GUI, como teste de software, preenchimento de formulários, navegação em painéis ou uso de aplicativos legados sem acesso à API. Isso reduz gargalos de automação e expande o que os agentes de IA podem fazer de forma realista na produção.
Se o software tiver uma interface gráfica de usuário (GUI), mas nenhuma API, um agente de IA ainda poderá usá-lo. Os agentes podem ser instruídos a fazer login em um painel, exportar os relatórios de SEO de ontem para uma planilha, compará-los com os dados da semana passada e enviar um resumo por e-mail ao usuário. O fluxo de trabalho é tratado com linguagem natural, em vez de depender de scripts personalizados para conectar o painel, a planilha e o e-mail.
O que isso significa para SEO
As ferramentas de SEO podem se tornar muito mais eficazes em um futuro próximo. Em vez de apenas exibir dados, a IA poderia fazer login no Google Search Console, auditar sites, rastrear um site com o Screaming Frog, extrair pontos de dados específicos para comparação e executar fluxos de trabalho de otimização repetitivos.
Para os proprietários de sites, isso também implica que outro conjunto de agentes de IA pode atuar como “visitantes”, o que pode afetar a forma como os proprietários de sites interpretam as interações do site e os sinais de engajamento para a otimização do site e das vendas.
Agentes de IA serão atacados
O anúncio do Google é bastante otimista, mas o documento de “práticas recomendadas de segurança” ao qual ele está vinculado merece atenção, porque a falha em acertar essa parte pode resultar em roubo e outras experiências ruins para o usuário.
O documento explica:
“O uso do computador apresenta riscos operacionais e de segurança únicos, pois um modelo que atua em nome de um usuário pode encontrar conteúdo não confiável nas telas ou cometer erros na execução de ações.”
Esse “conteúdo não confiável nas telas” pode ser uma referência às “armadilhas” estabelecidas para os agentes de IA contra as quais o cientista sênior do Google DeepMind alertou.
O Google recomenda sete práticas recomendadas quando este novo agente de IA:
1. Humano no Loop (HITL):
Aplicar confirmação do usuário: quando a resposta de segurança indicar require_confirmation (ou a decisão de segurança legada exigir isso), solicite a aprovação do usuário.
Forneça instruções de segurança personalizadas: implemente instruções de sistema personalizadas para definir e impor seus próprios limites de segurança.2. Ambiente de execução seguro:
Execute seu agente em um ambiente seguro e em área restrita para limitar seu impacto potencial. Pode ser uma máquina virtual (VM) em sandbox, um contêiner (por exemplo, Docker) ou um perfil de navegador dedicado com permissões limitadas3. Sanitização de entradas:
Limpe todo o texto gerado pelo usuário em prompts para reduzir o risco de instruções não intencionais ou injeção de prompt. Esta é uma camada útil de segurança, mas não substitui um ambiente de execução seguro.4. Proteção de conteúdo:
Use proteções e APIs de segurança de conteúdo para avaliar entradas do usuário, entradas e saídas de ferramentas e as respostas do agente quanto à adequação, injeção imediata e detecção de jailbreak.5. Listas de permissões e listas de bloqueio:
Implemente mecanismos de filtragem para controlar onde o modelo pode navegar e o que pode fazer. Uma lista de bloqueio de sites proibidos é um bom ponto de partida, enquanto uma lista de permissões mais restritiva é ainda mais segura.6. Observabilidade e registro:
Mantenha registros detalhados para depuração, auditoria e resposta a incidentes. Seu cliente deve registrar prompts, capturas de tela, ações sugeridas pelo modelo (function_call), respostas de segurança e todas as ações executadas pelo cliente.7. Gestão ambiental:
Certifique-se de que o ambiente da GUI seja consistente. Pop-ups, notificações ou alterações inesperadas no layout podem confundir o modelo. Comece a partir de um estado limpo e conhecido para cada nova tarefa, se possível.
Cuidado com sites cheios de armadilhas
À medida que as superfícies de ataque crescem, maior é a probabilidade de os hackers tentarem explorá-las. O que isso significa é que, à medida que o número de agentes de IA na web prolifera, os hackers voltarão a sua atenção para a sua exploração. Os sites se tornam o campo de batalha a partir do qual os invasores lançam ataques contra agentes de IA.
Um cientista sênior do Google DeepMind disse recentemente que atores mal-intencionados já estão montando armadilhas para roubar dinheiro de humanos, visando seus agentes de IA.
Isso não é um exagero. Ainda neste mês, um especialista em segurança cibernética na Califórnia sofreu cobranças ilícitas feitas em seu cartão de crédito devido ao agente de IA da Anthropic Claude. De acordo com o artigo, ele parece ter baixado um arquivo Skills.md que pode conter uma armadilha de agente de IA.
O artigo relata:
“…ele encontrou um complemento problemático conectado a Claude, conhecido como uma ‘habilidade’, semelhante a um plug-in. ‘Isso basicamente disse a Claude para tentar comprar diferentes tipos de contas de presente nas minhas informações armazenadas. Então, foi usando a carteira digital que estava no meu computador para Claude começar a fazer essas compras…'”
Os proprietários de sites podem precisar de controles de bot mais fortes e da capacidade de identificar quando hackers ocultaram instruções de injeção imediata em seus sites. Mas isso não é algo que os proprietários de sites procuram, o que agrava o problema para os usuários que utilizam agentes de IA como o que o Google acaba de lançar.
Leia mais: Google DeepMind: armadilhas para agentes de IA já estão roubando dinheiro
Imagem em destaque por Shutterstock/blocberry
