Recentemente, pesquisadores de segurança colocaram à prova um dos novos navegadores de IA "agêntica". A lista de tarefas era bem básica: pesquisar um produto, preencher um formulário e finalizar a compra. Em poucas horas, o navegador clicou em um anúncio de phishing, inseriu dados de cartão de crédito em um site falso e concluiu uma transação fraudulenta — tudo isso sem que um único ser humano estivesse ciente do golpe.
Foi um lembrete perturbador de quão poderosos os navegadores já são. Eles sabem aonde vamos, o que procuramos e o que compramos. Eles armazenam cookies, credenciais, tokens e dados de preenchimento automático que nos autenticam silenciosamente em toda a web. Cada hábito digital, cada login e cada rastro de metadados comportamentais fluem por meio desse único aplicativo. Quando uma camada de IA começa a operar dentro dele, o resultado não é apenas uma interface mais inteligente, mas também uma superfície de ataque exposta.
Do erro humano ao erro da máquina em grande escala
O phishing e a engenharia social exploram o comportamento humano há muito tempo, aproveitando a curiosidade, a distração e a confiança. Os invasores contam com erros e volume: alguém, em algum lugar, sempre vai clicar.
Os navegadores de IA subvertem esse padrão. Isso porque os agentes de IA não são impulsivos: eles são obedientes, dispostos a fazer o que for necessário para concluir uma tarefa para seu humano. Se uma página mal-intencionada incluir uma instrução oculta ou um prompt manipulador, um agente de IA pode absorver e executá-lo sem hesitação. Uma vez que um invasor encontra um método de ataque que funciona, seja por meio de injeção de prompts, HTML elaborado ou texto invisível, ele não precisa mais enganar as pessoas. Pode mirar diretamente nos sistemas que agem em nome delas.
O antigo guia prático de ataques ainda funciona: logins falsos, pop-ups enganosos, anúncios envenenados, desvios de CAPTCHA. A diferença é a escala. Um navegador de IA pode tomar a mesma decisão errada milhares de vezes por segundo, em inúmeras sessões — tudo isso enquanto parece legítimo para os sistemas que ele toca.
Um multiplicador de ameaças escondido à vista de todos
Durante a maior parte da história da web, os navegadores foram tratados como ferramentas que exibem conteúdo, mas não participam dele. Essa suposição nunca foi totalmente verdadeira. Os navegadores são uma mina de ouro de dados há muito tempo, incluindo histórico de navegação, senhas armazenadas, cookies de sessão e documentos em cache. Eles já estão na interseção de identidade, dados e comportamento.
O surgimento de navegadores "agênticos", como o Atlas da OpenAI, o Comet da Perplexity ou o Modo Copilot do Edge da Microsoft, aumenta esse risco. Esses navegadores não se limitam a renderizar páginas; eles interpretam, resumem e agem em relação a elas. Eles conhecem seu contexto e suas preferências. Podem recuperar informações, executar fluxos de trabalho e até mesmo concluir transações.
Para um sistema empresarial, essas ações parecem normais, com tokens válidos, cabeçalhos corretos e comportamento adequado. Para um invasor, a legitimidade é uma oportunidade. Se você comprometer o agente, vai herdar a confiança, a identidade e o alcance do usuário. O navegador sempre foi um dos softwares mais privilegiados em qualquer dispositivo.
Como o risco se propaga
Os modos de falha potenciais são extensões de padrões que as equipes de segurança já entendem, mas agora estão se movendo mais rápido e com maior acesso:
- Exposição de dados: os navegadores de IA podem resumir painéis sensíveis ou armazenar dados confidenciais em cache na memória, colocando-os fora dos controles de conformidade e DLP.
- Fraude e transações: agentes com injeção de prompt podem iniciar compras, transferências ou aprovações sem confirmação humana.
- Roubo de credenciais: as APIs de preenchimento automático e as sessões salvas podem ser enganadas para compartilhar dados de login com páginas falsificadas.
- Danos à reputação: sistemas automatizados podem publicar ou enviar mensagens em nome dos usuários, criando riscos para a confiança e a autenticidade públicas.
Individualmente, cada um desses riscos é familiar. Juntos, eles formam uma ameaça que opera dentro do perímetro com total legitimidade.
Responsabilidade, intenção e confiança
O desafio mais complexo nem é a detecção; é a responsabilidade. Nossas estruturas de segurança atuais pressupõem que há uma pessoa por trás de cada ação. No entanto, quando os navegadores agem de forma autônoma, essa ligação deixa de ser certa.
Um navegador com IA pode acessar dados sensíveis, aprovar fluxos de trabalho ou compartilhar informações com outro serviço. Tudo isso utilizando as credenciais corretas na rede certa. De uma perspectiva de monitoramento, tudo parece normal. No entanto, a intenção desapareceu da equação.
Sem uma maneira clara de identificar e restringir esses agentes não humanos, as organizações perdem tanto visibilidade quanto controle. Elas não conseguem determinar facilmente quem ou o que realizou uma ação — ou se ela foi autorizada desde o início. Nesse novo contexto, a identidade se torna o meio de reintroduzir a responsabilidade nas interações.
Se uma entidade — seja humana ou máquina — pode fazer login, acessar dados e executar comandos, ela deve ter uma identidade, permissões claramente definidas e comportamento auditável. E, no caso de agentes de IA, deve estar vinculada a um proprietário humano responsável. Caso contrário, a confiança se torna um palpite e a “atividade normal” se torna sua próxima ameaça interna.
O que os líderes de segurança deveriam estar se perguntando
Entre os casos de uso emergentes de IA e a pressão regulatória, os CISOs já estão sobrecarregados. Mas algumas perguntas simples podem revelar onde o risco está crescendo mais rapidamente:
- Podemos dizer se a atividade em nossos registros é iniciada por seres humanos ou por agentes?
- Nossas políticas de acesso são granulares o suficiente para governar ações delegadas do navegador?
- Nossos sistemas de DLP e fraude detectam a automação agêntica como sendo distinta do comportamento do usuário?
- O que acontecerá se um navegador de IA for comprometido e começar a exfiltrar dados por meio de APIs legítimas?
- Como estabelecemos trilhas de auditoria que comprovam a intenção em um ambiente autônomo?
As respostas a essas perguntas definirão o quão preparadas as empresas estão para a próxima geração de automação web.
Protegendo a web agêntica
O navegador sempre foi um alvo de alto valor. Ele sabe quem somos, o que fazemos e onde nossos dados residem. A chegada da IA apenas aumenta o risco.
À medida que os navegadores com IA e os agentes de IA se tornam parte do trabalho diário, as equipes de segurança precisarão adaptar princípios familiares a territórios desconhecidos. Verificação, menor privilégio, monitoramento contínuo e revogação rápida de sessão continuam sendo os pilares; a diferença é que agora devem se aplicar a agentes de software, não apenas a usuários humanos.
Para proteger os dados nesse ambiente, é preciso estender os controles baseados em identidade a cada entidade capaz de agir na rede. Temos que vincular cada ação a uma identidade verificada e avaliar seu comportamento de forma contínua para preservar a responsabilidade da qual a segurança moderna depende.
Saiba mais sobre como a Okta está ajudando as organizações a proteger agentes de IA em suas empresas.
