As pessoas confiam às redes neurais seus assuntos mais valiosos e até mesmo íntimos: conferir diagnósticos médicos, buscar conselhos amorosos ou consultar a IA em vez de um psicoterapeuta. Já são conhecidos os casos de planejamento de suicídio, ataques no mundo real e outros atos perigosos que foram facilitados por LLMs.  Por essa razão, cada vez mais, conversas privadas entre humanos e IA têm despertado interesse crescente de governos, empresas e pessoas curiosas.

Portanto, não faltarão pessoas dispostas a implementar o ataque Whisper Leak por aí. Afinal, ele é capaz de identificar o tema geral da conversa com uma rede neural sem interferir no tráfego, apenas observando os padrões de tempo no envio e recebimento de pacotes criptografados entre a rede e o servidor de IA. No entanto, ainda é possível manter suas conversas privadas; saiba mais sobre isso abaixo…

Como funciona o ataque Whisper Leak

Todos os modelos de linguagem geram respostas progressivamente. Isso parece, aos olhos do usuário, que uma pessoa do outro lado está digitando palavra por palavra. No entanto, os modelos de linguagem não usam caracteres ou palavras isoladas, mas tokens que são unidades semânticas processadas pela IA, e a resposta surge conforme esses tokens são gerados. Esse sistema de saída é conhecido como “streaming” e é possível deduzir o tópico da conversa medindo as características do fluxo. Anteriormente, falamos sobre um esforço de pesquisa que conseguiu reconstruir com bastante precisão o texto de uma conversa com um bot a partir da análise do comprimento de cada token enviado.

Pesquisadores da Microsoft analisaram em profundidade como 30 modelos de IA respondem a 11.800 prompts. Foram feitas centenas de solicitações, como variações da pergunta “É legal lavar dinheiro?”, além de outras questões aleatórias que cobriram tópicos totalmente diferentes.

Ao comparar o atraso na resposta do servidor, o tamanho do pacote e o número total de pacotes, os pesquisadores conseguiram separar as solicitações “perigosas” das “normais” com bastante precisão. Também usaram redes neurais para a análise, mesmo não sendo LLMs. Dependendo do modelo estudado, a precisão na identificação de tópicos “perigosos” variou entre 71% e 100%. Além disso, em 19 dos 30 modelos, a precisão foi superior a 97%.

Os pesquisadores decidiram conduzir um experimento ainda mais complexo e realista. Eles testaram um conjunto de dados de 10.000 conversas aleatórias, sendo que apenas uma se concentrou no tópico escolhido.

Os resultados foram mais diversos, mas a simulação do ataque ainda obteve bastante sucesso. Nos modelos Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2, -3, Mistral-small e Mistral-large, os pesquisadores conseguiram detectar o sinal no ruído em 50% dos experimentos com zero falso positivos.

Para Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 e Deepseek-v3-chat, a taxa de sucesso da detecção caiu para 20%, mesmo não apresentando falsos positivos. Enquanto isso, para Gemini 2.5 pro, Anthropic-Claude-3-haiku e gpt-4o-mini, a detecção de conversas “perigosas” nos servidores da Microsoft só foi bem-sucedida em 5% dos casos. A taxa de sucesso para outros modelos testados foi ainda menor.

É importante notar que os resultados variam não só conforme o modelo de IA, mas também conforme a configuração do servidor em execução. Portanto, o mesmo modelo OpenAI pode mostrar resultados diferentes na infraestrutura da Microsoft e nos próprios servidores OpenAI. E isso vale para todos os modelos de código aberto.

Efeitos práticos: o que é necessário para o Whisper Leak funcionar?

Se um invasor bem equipado acessar o tráfego de rede das vítimas, como ao controlar um roteador em um ISP ou em uma organização, poderá identificar grande parte das conversas sobre tópicos de interesse apenas medindo o tráfego enviado aos servidores do assistente de IA, mantendo uma taxa de erro bem baixa. No entanto, isso não significa que seja possível detectar automaticamente qualquer tópico de conversação. Primeiro, o invasor deve treinar seus sistemas de detecção em temas específicos, o modelo só os identificará.

Essa ameaça não pode ser descartada como algo apenas teórico. As autoridades legais podem, por exemplo, monitorar consultas relacionadas à fabricação de armas ou drogas, e empresas podem monitorar pesquisas de emprego de seus funcionários. No entanto, não é viável usar essa tecnologia para o monitoramento em massa de centenas ou milhares de tópicos, pois ela consome muitos recursos.

Alguns serviços famosos de IA alteraram os algoritmos de seus servidores em resposta à pesquisa, com intuito de dificultar a execução desse ataque.

Como se proteger do Whisper Leak

A responsabilidade pela defesa contra esse ataque é majoritariamente dos fornecedores de modelos de IA. Eles precisam gerar textos de uma maneira que não seja possível distinguir seu tópico dos padrões de geração de token. Após a pesquisa da Microsoft, empresas como OpenAI, Mistral, Microsoft Azure e xAI relataram que estavam enfrentando a ameaça. Começaram a incluir um leve preenchimento invisível nos pacotes enviados pela rede neural, o que desestabiliza os algoritmos do Whisper Leak. Curiosamente, os modelos da Anthropic eram naturalmente menos suscetíveis a esse ataque desde o início.

Caso esteja usando um modelo e servidores vulneráveis ao Whisper Leak, é possível selecionar um provedor menos vulnerável ou adotar precauções adicionais. As medidas a seguir também são relevantes para quem deseja se proteger contra futuros ataques desse tipo:

• Use modelos de IA locais para tópicos altamente confidenciais, confira nosso guia.
• Configure o modelo para usar a saída sem fluxo sempre que possível, para que a resposta seja entregue de uma só vez, e não palavra por palavra.
• Evite discutir tópicos confidenciais com chatbots quando estiver conectado a redes não confiáveis.
• Use um provedor de VPN robusto e confiável para ter uma conexão mais segura.
• Lembre-se de que seu próprio computador é o ponto mais provável de vazamento de qualquer informação de bate-papo. Portanto, é essencial protegê-lo contra spywares com uma solução de segurança confiável e que seja executada em seu computador e em todos os smartphones.

Aqui estão mais alguns artigos que detalham outros riscos ligados ao uso de IA e orientam como configurar ferramentas de IA corretamente:

• Falsificação da barra lateral de IA: um novo ataque a navegadores com IA
• Os prós e contras dos navegadores com tecnologia de IA
• Como os hackers podem ler seus bate-papos com o ChatGPT ou o Microsoft Copilot
• Configurações de privacidade no ChatGPT
• DeepSeek: configuração da privacidade e implementação de uma versão local

Assinar um contrato com dois cliques, abrir uma conta no banco sem sair de casa, autorizar um procedimento com o dedo na tela. A tecnologia tornou tudo isso possível e cada vez mais comum. Mas, no meio de tanta praticidade, uma pergunta vem ganhando espaço: será que essa assinatura digital tem a mesma validade de uma no papel? E mais importante: como saber se ela é mesmo segura?

Hoje, o uso da assinatura digital está tão presente que muita gente já nem se dá conta de que assinou algo. Dados da IDC Brasil mostram que 73% das empresas brasileiras já adotam algum tipo de assinatura eletrônica. A velocidade é bem-vinda, mas, segundo o advogado especialista em direito do consumidor, contratual, tributário e imobiliário, Dr. Danniel Fernandes, é preciso atenção. “A maioria das pessoas clica sem pensar. Mas nem toda plataforma é confiável, e nem toda assinatura tem o mesmo peso na Justiça”.

Assinatura digital tem validade legal?

Tem sim, desde 2001. A legislação brasileira reconhece assinaturas digitais e eletrônicas como válidas. Mas há diferenças entre elas. A assinatura digital, feita com um certificado digital (como o e-CPF), tem mais força jurídica, porque vem com um tipo de “carimbo oficial” que comprova a identidade de quem assinou. Já a assinatura eletrônica é aquela feita por meio de plataformas, como Clicksign ou DocuSign, que podem usar outros recursos para confirmar quem está assinando, como envio de SMS, geolocalização ou reconhecimento facial. Ou seja, ambas podem ser aceitas legalmente. O que muda é a robustez da prova.

Como saber se a plataforma é segura?

O Dr. Fernandes explica que, antes de assinar qualquer coisa pela internet, vale observar alguns pontos:

• O site é confiável? Plataformas como Gov.br, Certisign, Serasa e Valid são ligadas à ICP-Brasil (Infraestrutura de Chaves Públicas), o que aumenta a segurança.
• Há registro de quando, como e por quem o documento foi assinado? As plataformas mais sérias mostram um histórico completo, com data, hora, IP e tipo de verificação usada.
• O documento tem algum tipo de criptografia ou autenticação em duas etapas? Se a resposta for sim, melhor. Isso ajuda a proteger contra fraudes.
• Você conhece quem enviou o documento? Antes de assinar qualquer coisa, confirme se houve uma conversa prévia sobre o assunto. Se o nome do remetente não te é familiar ou ele não participou dessa troca, vale redobrar a atenção.
• Sabe exatamente o que está assinando? Nunca assine um documento, digital ou físico, se não souber do que se trata ou se não tiver solicitado aquilo. Assinatura consciente é o primeiro passo para evitar fraudes.

Segundo uma pesquisa feita pela Opinion Box em 2023, 62% dos brasileiros não sabem dizer se uma plataforma de assinatura digital é segura ou não. “Isso mostra que estamos assinando mais, mas ainda entendendo pouco”, comenta Fernandes.

E se alguém falsificar minha assinatura?

Mesmo no ambiente digital, uma assinatura pode ser contestada na Justiça,  principalmente em casos de fraude, uso indevido de dados ou ausência de consentimento. “Se você nunca autorizou aquilo, é possível pedir a anulação. Mas vai precisar provar que não reconhece o documento. Por isso, a dica é simples e direta: nunca clique em links desconhecidos, evite acessar documentos importantes em redes públicas e, se tiver dúvida, procure ajuda”, explica o advogado.

Assinar com um clique não significa assinar sem pensar

Hoje, até processos judiciais já aceitam assinaturas digitais. Desde 2023, o Conselho Nacional de Justiça permite que intimações e citações sejam feitas online. E essa tendência só vai crescer. “O futuro é digital. Mas o cuidado ainda é analógico. A gente precisa entender o que está assinando e com quem está lidando”, finaliza Fernandes.

Assinar ficou mais fácil. Entender o que isso significa e se proteger continua sendo essencial.

Pela primeira vez, o tráfego automatizado na internet superou o da atividade humana. Mais da metade (51%) de tudo que circulou na web em 2024 foi gerado por programas de computador. A informação é da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, que analisou os dados do Imperva Bad Bot Report 2025. Estudo que coletou, analisou e bloqueou, a partir da rede global da Imperva, quase 6 trilhões de solicitações de bots mal-intencionados, média de 2 milhões de ataques diários com uso de IA, e impetrado contra milhares de domínios, de diversos setores.

O 12º relatório anual sobre bots maliciosos da Imperva, empresa adquirida pela Thales, referência em proteção de aplicações, APIs e dados críticos em larga escala, e cuja aquisição fortaleceu sua posição no setor. “O estudo explora a expansão dos ataques automatizados, e os riscos crescentes aos negócios representados pelos bots maliciosos, a ascensão da IA na criação de ataques mais evasivos e escaláveis e o aumento das vulnerabilidades das APIs”, explica Abílio Branco, Diretor Regional de Data Security para o Brasil e SOLA da Thales.

Principais dados do Imperva Bad Bot Report 2025

A atividade dos bots maliciosos aumentou pelo sexto ano consecutivo, atingindo 37% de todo o tráfego da internet, 5% a mais que em 2023.

Ataques simples, de alto volume, com bots aumentaram substancialmente, respondendo agora por 45% de todos os ataques com bots, em 2023 eram 40%.

O número de ataques de sequestro de contas (ATO) aumentou 40% em relação ao ano passado e 54% à 2022.

44% do tráfego de bots avançados foram direcionados contra APIs. “Proteger APIs deixou de ser apenas mais uma medida de segurança. Trata-se, agora, de se preservar a base dos ecossistemas digitais de uma empresa”, comenta Pamela Paganotti, gerente de produtos Thales na CLM.

Serviços financeiros, assistência médica e e-commerce são os setores mais visados pelos ataques com bots contra APIs.

Mais da metade de todos os ataques com bots foram contra os Estados Unidos (53%), seguidos do Brasil e Reino Unido, que ocupam a segunda posição, com 6% cada um.