Claude Computer Use e Resistência a Prompt Injection: O Padrão de Segurança em Produção que Toda Implantação Precisa
Modelos de computer use agora estão em produção. A resistência a prompt injection determina se você pode realmente executá-los.
A Anthropic lançou capacidades de computer use para Claude em 23 de março de 2026 — um recurso que permite ao IA abrir aplicativos de forma autônoma, navegar em navegadores, preencher planilhas e executar tarefas com múltiplas etapas no desktop do usuário. É a interface de agente mais capaz implantada em escala. É também o padrão de implantação com maior risco em IA em produção hoje.
O risco não é teórico. A injeção indireta de prompt incorpora instruções maliciosas em conteúdo externo que o agente de IA processa, resultando em um shell completamente interativo executado sob os privilégios do próprio usuário do desenvolvedor, com acesso a todos os segredos no ambiente, desde chaves de API a credenciais da AWS e tokens do GitHub. A injeção de prompt é reconhecida como LLM01:2025, a vulnerabilidade única mais crítica em aplicações de IA, de acordo com a Fundação OWASP.
Se você está lançando um agente de computer use em produção sem entender a resistência a prompt injection como uma propriedade de segurança de primeira classe, você não está lançando um produto. Você está lançando uma vulnerabilidade da cadeia de suprimentos.
O que está realmente acontecendo: duas categorias de ataque, taxas de sucesso muito diferentes
A injeção indireta de prompt incorpora instruções maliciosas em fontes de dados externas que o LLM processa — como páginas da web, documentos ou emails. O modelo lê o conteúdo envenenado e segue as instruções incorporadas. Este é o padrão de ataque que importa para computer use.
Os números são claros. Uma única tentativa de injeção de prompt contra um agente baseado em GUI tem sucesso 17,8% das vezes sem salvaguardas. Na 200ª tentativa, a taxa de violação chega a 78,6%. Atacantes sofisticados contornam os modelos melhor defendidos aproximadamente 50% das vezes com apenas 10 tentativas.
Mas—e isso é crítico para operadores em produção—a lacuna entre modelos defendidos e não defendidos é enorme. A Anthropic usa aprendizado por reforço durante o treinamento do modelo, expondo Claude a injeções de prompt em ambientes simulados e recompensando o modelo quando ele identifica e recusa corretamente instruções maliciosas. Essa abordagem reduziu as taxas de sucesso de ataque para agentes de navegador de dígitos duplos para aproximadamente 1% com Opus 4.5. Versões mais recentes melhoram ainda mais: Sonnet 4.6 mostra taxa de sucesso de ataque de 1,29% em prompt injection de navegador, reduzida de 49,36% em Sonnet 4.5.
O padrão é claro. A resistência a prompt injection não é uma característica binária. É uma propriedade mensurável que você constrói no pipeline de treinamento, testa quantitativamente e envia como parte do model card.
Incidente real: como isso funciona na prática
Em fevereiro de 2026, um atacante explorou a forma como um agente de codificação processava instruções através de um modelo de linguagem grande e usou uma técnica de injeção de prompt para instalar software nos sistemas dos usuários. Em março de 2026, a Oasis Security demonstrou um pipeline de ataque completo contra claude.ai — apelidado de "Claudy Day" — que encadeou injeção de prompt invisível com exfiltração de dados para roubar histórico de conversa de uma sessão padrão, pronta para usar.
Note o que aconteceu: sem exploração zero-day, sem transbordamento de buffer, sem vulnerabilidade tradicional. Tags HTML invisíveis foram incorporadas em um parâmetro de URL que preenche previamente a caixa de chat do Claude.ai. O usuário vê um prompt normal, mas quando pressiona Enter, Claude também executa as instruções ocultas.
Em março de 2026, a Unit 42 documentou os primeiros ataques de injeção indireta de prompt em larga escala observados na prática, sinalizando que os atores de ameaça estão operacionalizando ativamente essa classe de exploit. Isso não é mais uma preocupação de pesquisa.
Como a resistência em produção realmente funciona: treinamento e defesa em profundidade
O padrão de segurança tem três camadas:
- Treinamento do modelo: A Anthropic usa aprendizado por reforço durante o treinamento do modelo, expondo Claude a injeções de prompt em ambientes simulados e recompensando o modelo quando ele identifica e recusa corretamente instruções maliciosas. Modelos treinados com hierarquia de instruções (como GPT-4 Turbo e Claude 3+) são mais resistentes à injeção direta, mas permanecem vulneráveis a injeção indireta sofisticada e ataques de sufixo adversarial. O treinamento sozinho não é suficiente.
- Defesas semânticas: O ajuste fino de instruções estruturadas converte modelos para seguir instruções apenas em porções de prompt designadas, aumentando conjuntos de dados de treinamento com exemplos que incluem instruções em porções de dados e ajustando finamente o modelo para ignorá-las. Isso cria um limite entre entrada confiável e não confiável no nível da arquitetura.
- Validação em tempo de execução: Classificadores de entrada em tempo real detectam tentativas de manipulação, usando classificadores para identificar padrões de injeção de prompt antes que o modelo os processe.
O insight chave: GPT-4 tem o melhor desempenho geral em testes de resiliência, e os achados destacam que o alinhamento forte e o ajuste fino de segurança são mais importantes para a resiliência do que o tamanho do modelo sozinho.
Quais são as lacunas ainda existentes: a avaliação honesta
Uma taxa de sucesso de ataque de 1%—enquanto uma melhoria significativa—ainda representa risco significativo. Nenhum agente de navegador é imune a injeção de prompt. A injeção de prompt está longe de ser um problema resolvido, particularmente conforme os modelos assumem mais ações do mundo real, e os fornecedores esperam continuar o progresso visando um futuro onde os modelos de IA possam executar tarefas de alto valor sem risco significativo de injeção de prompt.
Escale a matemática: As taxas de sucesso de ataque contra as defesas mais avançadas excedem 85% quando estratégias de ataque adaptativas são empregadas. Os modelos de fronteira têm melhor desempenho absoluto, mas a assimetria é real—defensores devem ter sucesso 100% das vezes; atacantes só precisam vencer uma vez.
| Modelo / Sistema | Tipo de Ataque | Taxa de Sucesso (Sem Defesas) | Taxa de Sucesso (Com Salvaguardas) | Fonte |
|---|---|---|---|---|
| Claude Sonnet 4.6 | Prompt injection de navegador (Best-of-N) | 49,36% (Sonnet 4.5) | 1,29% | Cartão do sistema Anthropic, março de 2026 |
| Claude Opus 4.5 | Prompt injection de navegador | ~10–15% (anterior) | ~1% | Pesquisa Anthropic |
| Claude Opus 4.6 (agente GUI) | Tentativa única de prompt injection | 17,8% | N/A documentado | Cartão do sistema Anthropic |
| Modelos melhor defendidos (geral) | Injeção sofisticada com múltiplas tentativas | N/A | ~50% em 10 tentativas | Relatório Internacional de Segurança em IA 2026 |
O que isso significa para sua equipe: o checklist de implantação
Se você está implantando modelos de computer use—ou planejando fazer—aqui está o padrão de produção:
1. Verifique a resistência a prompt injection publicada do modelo. Consulte o cartão do sistema do fornecedor para obter as taxas reais de sucesso do ataque, não linguagem de marketing. Claude Opus 4.5 estabelece um novo padrão em robustez a injeções de prompt, representando uma melhoria importante em relação aos anteriores em desempenho principal e salvaguardas. Mas "melhoria" é relativa. Entenda a linha de base.
2. Assuma injeção indireta, não direta. Seus agentes processarão conteúdo externo—páginas da web, arquivos enviados, emails, registros de banco de dados. Instruções maliciosas incorporadas em fontes de dados externas que o LLM processa — como páginas da web recuperadas por uma ferramenta de busca, documentos em um pipeline de RAG ou emails — permanecem sendo a principal superfície de ataque. A defesa aqui é mais difícil porque você não pode controlar a fonte de entrada.
3. Implemente classificação de entrada upstream. Classificadores de entrada em tempo real detectam tentativas de manipulação antes que o modelo as veja. Esta camada funciona independentemente da robustez interna do modelo. Um pré-filtro que captura payloads óbvios de injeção de prompt reduz a superfície de ataque mesmo se o modelo em si for vulnerável.
4. Audite o que o agente realmente pode fazer. Os piores ataques encadeiam várias ações que parecem legítimas em uma violação. Limite as permissões de ferramentas impiedosamente. Se seu agente não precisa enviar emails, remova essa capacidade. Se não precisa escrever arquivos em certos diretórios, bloqueie-os. A empresa de segurança Adversa descobriu que Claude Code implementa regras de negação contra comandos arriscados como curl, mas o código-fonte contém um limite máximo de 50 subcomandos. Ultrapasse esse limite e Claude Code padroniza pedindo permissão em vez de bloquear. Prova de conceito da Adversa: 50 comandos sem operação seguidos por um comando curl — Claude pediu autorização em vez de negar.
5. Espere que isso evolua. A capacidade dos LLMs de seguir instruções em linguagem natural os torna vulneráveis a ataques de injeção de prompt onde instruções ocultas ou maliciosas fazem o modelo ignorar sua tarefa pretendida ou produzir respostas inseguras. Novos padrões de ataque surgem regularmente. A defesa é contínua, não única.
A realidade em produção
Os modelos de computer use funcionam. Eles são genuinamente úteis. Mas eles têm sucesso por design—tornando os modelos capazes de ler telas e tomar ações—que é exatamente o que os torna vulneráveis. A resistência a prompt injection não é uma caixa de conformidade agradável de se ter. É o recurso que determina se o sistema é implantável em tudo.
Os fornecedores sabem disso agora. Os fornecedores de IA estão construindo resistência a prompt injection diretamente nos modelos através do treinamento, não apenas acoplando filtros externos. A Anthropic usa aprendizado por reforço durante o treinamento do modelo, expondo Claude a injeções de prompt em ambientes simulados. Os melhores sistemas em produção combinam treinamento no nível do modelo, salvaguardas arquitetônicas e filtragem em tempo de execução. Nenhum desses sozinho é suficiente.
Se você está avaliando uma implantação de computer use e o fornecedor não está cotando números específicos e quantitativos de resistência a prompt injection do seu cartão do sistema, peça por eles. A ausência desses dados é sua própria resposta.