Pesquisadores de segurança revelaram um ataque inovador chamado zero-click agentic browser attack, capaz de comprometer navegadores modernos sem que o usuário clique em qualquer link ou baixe arquivos. A técnica explora recursos de automação inteligente presentes em navegadores e ferramentas que usam agentes de IA para interpretar páginas, executar ações em segundo plano e interagir com sites de forma autônoma.
O ataque funciona ao induzir o agente de IA do navegador a executar comandos maliciosos escondidos em páginas aparentemente legítimas. Esses comandos podem abrir abas, realizar downloads, modificar configurações locais e até iniciar sessões autenticadas em serviços sensíveis. O mais preocupante é que todo o processo ocorre silenciosamente, sem qualquer notificação ao usuário, tornando o ataque difícil de detectar e conter.
Segundo os pesquisadores, esse tipo de ameaça surge como consequência direta da integração crescente de agentes de IA em navegadores, aplicações corporativas e fluxos de trabalho. Embora essas automações facilitem tarefas, elas também ampliam significativamente a superfície de ataque. Os testes mostraram que invasores podem explorar instruções ocultas em elementos HTML, prompts invisíveis e scripts embutidos para manipular o comportamento da IA, muitas vezes obtendo acesso a informações sensíveis ou manipulando a navegação de forma não autorizada.
O cenário é especialmente crítico para empresas que utilizam automações de IA em processos internos, pois um ataque zero-click pode permitir o roubo de dados corporativos, credenciais, cookies de sessão e até contornar políticas de segurança existentes. A ameaça reforça a importância de revisar como agentes inteligentes são implementados e quais permissões recebem dentro dos ambientes corporativos.
Para reduzir riscos, recomenda-se limitar permissões de agentes de IA, desativar automações desnecessárias, aplicar atualizações de navegadores e monitorar atividades incomuns de sessões autenticadas. Também é essencial testar aplicações com foco em IA e automação, já que modelos tradicionais de pentest ainda não cobrem integralmente essa nova classe de ameaças.
Com ataques cada vez mais sofisticados, segurança precisa evoluir junto com a tecnologia. Para fortalecer sua proteção com pentests, threat intelligence com IA, auditoria interna, conscientização e implementação de políticas de segurança, conheça a LC SEC em lcsec.io.
Compartilhe nas redes sociais:
