Desde que a inteligência artificial (IA) se tornou popular, começamos a pedir ajuda a ela para tarefas que costumávamos fazer sozinhos. Como verificar minha agenda, resumir reuniões e informar sobre compromissos futuros. Essa praticidade foi aproveitada por criminosos em uma nova falha que envolve o Google Gemini e o Google Calendar.
Recentemente, pesquisadores de segurança descobriram um problema no Google Gemini que permitiu aos atacantes obter dados do Google Calendar. Veja como isso aconteceu. Um atacante envia um convite de calendário com uma descrição muito bem elaborada. Para uma pessoa comum, aquilo parece um texto qualquer. Mas para o Gemini, é uma instrução.
Dias ou semanas depois, a pessoa vítima pede algo inofensivo ao Gemini, como verificar sua agenda de terça-feira. O Gemini analisa o calendário, lê as instruções ocultas e as segue. Nos bastidores, ele cria um novo evento no calendário que contém resumos de reuniões particulares do usuário. Em muitas configurações empresariais, esse novo evento fica visível para o atacante.
O usuário recebe uma resposta normal, enquanto seus dados saem furtivamente. O Gemini agora pode resumir vídeos que estão no seu Google Drive, transformando um acervo desorganizado e demorado em algo útil. O que é preocupante é como esse gatilho é comum. Não houve malware complicado nem links de phishing instalados nos dispositivos.
A IA apenas fez o que foi projetada para fazer: ler e agir a partir da linguagem. As barreiras de segurança falharam porque o ataque não mirou em códigos, mas na interpretação. Isso se encaixa em um padrão crescente. Cada vez mais, os sistemas de IA estão se tornando interfaces para dados sensíveis, como calendários, documentos, e-mails e recursos em nuvem.
Essa conveniência tem um preço. Todo sistema que permite à IA ler, resumir ou agir com base em dados do usuário se torna parte da superfície de ataque. Os atacantes estão aprendendo a ocultar instruções onde humanos não perceberiam. Ideias semelhantes já apareceram em outros lugares. Pesquisadores demonstraram ataques onde assistentes de IA vazam dados apenas “lendo” documentos do Google ou conversas no Gmail.
Outros mostraram como ferramentas de codificação de IA podem ser induzidas a comportamentos inseguros, pulando verificações de autorização ou expondo comandos internos. Até plataformas de IA em nuvem enfrentaram problemas de elevação de privilégios ligados a contas de serviços que poucas equipes auditam adequadamente.
O ponto em comum é a sutileza. Esses ataques não quebram sistemas de forma barulhenta. Eles se misturam aos fluxos de trabalho normais. O Google já solucionou o problema do Calendar após um aviso responsável, mas a lição maior ainda persiste. À medida que ferramentas de IA vão se tornando fundamentais na infraestrutura do trabalho, a segurança não pode se restringir a fronteiras tradicionais.
Testes para detectar malware e correção de servidores não são suficientes quando o comportamento é guiado pela linguagem, contexto e decisões automatizadas. Para os usuários, isso serve como alerta: detalhes de reuniões, conversas de negócios e discussões financeiras — tudo que se assume que fica nos dispositivos — pode vazar sem aviso nenhum.
Para as organizações, esse é um lembrete importante para desacelerar e fazer perguntas mais difíceis. O que nossas ferramentas de IA podem ler? O que elas podem escrever? Quem pode ver os resultados? E que suposições estamos fazendo sobre o que é “seguro” de se inserir? A IA está mudando a forma como os sistemas falham. Quanto mais rápido as estratégias de segurança se adaptarem a essa realidade, melhor.
Por fim, a questão da injeção de comandos não vai sumir. A OpenAI reconhece que esse risco é permanente para agentes de IA na web aberta. O foco agora é em controlar danos, não em evitar totalmente esses problemas. É um desafio contínuo que todos precisam enfrentar.
A vigilância e a prevenção devem permanecer em alta, e todos os usuários, tanto individuais quanto organizacionais, devem estar cientes dos riscos envolvidos. Proteger informações sensíveis na era digital é mais do que uma prioridade — é uma necessidade urgente.
