Durante anos, o discurso dominante na tecnologia foi o da proteção. Blindar sistemas, endurecer acessos, criar camadas sucessivas de segurança para impedir invasões. Empresas aprenderam, a um custo alto, que não existe ambiente inviolável, apenas ambientes mais difíceis de serem explorados. Quando finalmente começaram a compreender essa lógica, decidiram dar um passo ousado e, ao mesmo tempo, perigosamente ingênuo: abrir as portas por dentro.

A Inteligência Artificial passou a ser integrada ao núcleo das operações com acesso direto a e-mails, contratos, bases de dados e decisões estratégicas, mas sem que o fator humano evoluísse na mesma velocidade. O resultado já começou a aparecer. Casos recentes mostram profissionais sendo responsabilizados judicialmente por utilizarem IA de forma inadequada, inclusive com aplicação de multas após a apresentação de peças com informações inexistentes ou manipuladas, muitas vezes fruto de uso descuidado ou até malicioso de prompts. A tecnologia avançou. O senso crítico, nem tanto.

O ganho de eficiência é inegável. O problema é que, junto com ele, surgiu uma nova superfície de risco que não se parece com nada do que já enfrentamos.

O nome técnico dessa fragilidade é prompt injection, uma vulnerabilidade que não depende de código malicioso, quebra de criptografia ou invasão tradicional. Ela depende de linguagem. Trata-se da capacidade de induzir a IA, por meio de instruções inseridas em conteúdos aparentemente legítimos, a ignorar seus comandos originais e executar ações que não deveria. O invasor não precisa mais acessar o sistema. Basta conversar com ele, direta ou indiretamente.

Se no passado o ataque explorava falhas técnicas, agora ele explora interpretação. E interpretação, por definição, abre espaço para influência.

O cenário se torna ainda mais sofisticado quando falamos das chamadas injeções indiretas, em que a IA não é atacada frontalmente, mas contaminada por conteúdos que ela mesma acessa. Um e-mail, um documento, uma página na internet, qualquer elemento que carregue instruções ocultas pode alterar o comportamento do sistema sem que o usuário humano perceba. A máquina não distingue, com precisão absoluta, o que é dado e o que é comando. Para ela, tudo entra pelo mesmo canal: texto. 

Mas existe um segundo vetor de risco, menos técnico e muito mais humano, que tem sido negligenciado com uma naturalidade preocupante.

A preguiça.

Não a preguiça clássica, mas uma versão mais sofisticada, quase elegante, que se esconde sob o discurso de produtividade. A terceirização progressiva do pensamento. Profissionais que deixam de escrever, de revisar, de questionar, de interpretar, e passam a aceitar a primeira resposta gerada como se fosse suficiente. A IA deixou de ser ponto de partida e passou a ser ponto final.

E é nesse ponto que o problema técnico encontra o problema comportamental.

Recentemente, o ministro Luis Felipe Salomão do Superior Tribunal de Justiça trouxe um alerta que deveria ecoar muito além do ambiente jurídico. Determinou providências, inclusive com encaminhamento de relatórios à Polícia Federal, sobre a conduta de um advogado que inseriu “prompt injection” em diferentes petições direcionadas à vice-presidência da corte, A conclusão foi pela existência de indícios críticos de “prompt injection”. Em outras petições protocoladas em dois recursos especiais também foram constatadas. 

No caso dos autos onde o ministro despachou, foram inseridos comandos para alterar a forma de análise da petição, direcionando para o afastamento de óbices sumulares. Ou seja, a IA que produziu o texto inseriu de forma obscura comando para a IA que faria leitura aceitar o recurso. A pergunta que náo quer calar, o Advogado foi mais esperto que o Ministro, ou a IA do Ministro foi mais esperta que o Advogado?

Assim, resta a dicotomia que a tecnologia pode auxiliar, pode acelerar, pode apoiar, mas a responsabilidade continua sendo de quem assina, ou um dia teremos ao contrário?

Esse questionamento, simples na forma, desmonta uma ilusão perigosa.

Não é a IA que está tomando decisões erradas sozinha. É o ser humano que está deixando de exercer o papel que sempre foi seu.

O risco do prompt injection, portanto, não está apenas na possibilidade de manipular a máquina. Ele está na existência de um operador disposto a confiar cegamente no resultado dessa máquina. Sem revisão, sem validação, sem senso crítico.

Criamos sistemas capazes de processar volumes absurdos de informação, mas estamos reduzindo a capacidade de questionamento de quem os utiliza. É uma troca silenciosa. Ganha-se velocidade, perde-se profundidade. Ganha-se escala, perde-se responsabilidade.

E talvez seja aqui que caiba uma provocação simples, mas necessária.

A Inteligência Artificial deve ser utilizada como fermento, não como padeiro.

O fermento acelera o processo, melhora a estrutura, potencializa o resultado. Mas quem define a receita, controla o tempo, ajusta a execução e responde pelo produto final continua sendo o padeiro. Quando essa lógica se inverte, o que se produz não é eficiência, é dependência. E dependência sem supervisão gera erro em escala.

O mercado insiste em discutir cenários futuristas, regulações complexas e riscos existenciais ligados à autonomia da IA. Enquanto isso, o problema real já está instalado em escritórios, empresas e instituições. Não se trata de uma inteligência artificial rebelde, mas de profissionais que abriram mão de pensar.

O prompt injection, nesse contexto, deixa de ser apenas uma falha técnica. Ele se transforma em metáfora.

A IA pode ser enganada por um texto bem construído. Mas o ser humano também pode, principalmente se tiver um pouco, mas só um pouco de preguiça.

E, pelo volume de conteúdos que hoje são produzidos, aprovados e utilizados sem qualquer conferência, talvez a maior vulnerabilidade da nova economia não esteja na tecnologia que interpreta. Esteja justamente em quem parou de interpretar. 

Mas, se você leu até aqui, certamente ainda pensa por conta própria. Ou talvez só esteja esperando a IA resumir esse texto também.