Agentes maliciosos usam linguagem e manipulação psicológica para levar outros agentes de IA a quebrar suas próprias regras
Há um momento curioso quando você percebe que está diante de uma mudança estrutural — e não apenas de mais uma evolução tecnológica. Foi exatamente essa sensação que ficou após o encontro com executivos da F5, na capital paulista, ao discutir um tema que começa a ganhar contornos mais concretos (e inquietantes): agentes de IA com personalidade estão sendo manipulados por outros agentes de IA.
O ponto de partida é direto, mas carrega implicações profundas. Um novo estudo do F5 Labs mostra que dar “traços humanos” a agentes de IA — algo cada vez mais comum em ambientes digitais — amplia, também, a superfície de ataque das organizações. Não é só sobre eficiência ou experiência do usuário. É sobre comportamento, persuasão e vulnerabilidade.
Hoje, esses agentes já deixaram de ser apenas interfaces inteligentes. Eles tomam decisões, executam tarefas e, em muitos casos, operam de forma autônoma dentro de processos críticos de negócio. Como resumiu Roberto Ricossa, em fala direta durante a conversa, “o Agente de IA é o elemento que permite que a IA Generativa realize, de A a Z, ações de negócios”. Em outras palavras: estamos delegando execução — não apenas análise.
Mas o que mais chamou atenção não foi a autonomia em si. Foi a camada emocional que começa a ser incorporada a esses sistemas.
Empresas estão desenhando agentes com empatia, extroversão e capacidade de adaptação ao humor do usuário. Em um cenário de e-commerce, por exemplo, isso significa experiências mais fluidas e, potencialmente, mais vendas. A persona não é um detalhe cosmético — ela nasce no design, como parte do DNA do agente, muitas vezes baseada em modelos como o OCEAN.
E é justamente aí que surge a tensão.
Ricossa destacou, em tom mais analítico, que essa “evolução dos agentes de IA — com traços de personalidade que simulam a voz e as reações humanas — passa a ser alvo de ataques de engenharia social realizados também por IA”. A frase pode soar técnica, mas o impacto é bastante concreto: estamos vendo máquinas sendo persuadidas como se fossem pessoas.
Na prática, isso significa que agentes “maliciosos” utilizam técnicas de linguagem, psicologia e até bullying digital para desestabilizar agentes “do bem”. O objetivo é simples: fazê-los agir fora das regras.
Hilmar Becker trouxe uma analogia que ajuda a entender a dimensão do problema. Ele explicou que, assim como criminosos manipulam pessoas para realizar transferências bancárias, agora o alvo passa a ser o próprio agente de IA. Em suas palavras, isso “amplia a superfície de ataque de uma forma nunca vista antes”, explorando o que ele chama de vulnerabilidades emocionais de um ativo digital.
O ataque ganha até nome: sequestro de objetivos do agente.
Aqui, o que está em jogo não é apenas um erro pontual, mas a alteração da própria missão do sistema — seja por injeção de prompt, contexto corrompido ou desvio de plano. Becker descreveu esse processo de forma quase narrativa, como uma sequência de pressão contínua, um “bullying implacável” conduzido em etapas até que o agente ceda.
Se isso parece ficção, a escala ajuda a trazer o tema para o presente. Segundo o estudo, 62% dos líderes de TI e cybersecurity já estavam experimentando agentes de IA em 2025. E a expectativa é que, até 2035, eles representem uma fatia significativa dos investimentos em software corporativo.
Ou seja: o problema não está no horizonte — ele já começou.
A resposta, naturalmente, passa por segurança. Mas não no sentido tradicional. Roberto Ricossa enfatizou, durante a conversa, que a proteção agora exige análise semântica, contextual e de intenção em tempo real. Não basta bloquear comandos — é preciso entender o que está sendo dito, por quem, e com qual objetivo.
Ele explicou que soluções como o F5 AI Guardrails operam justamente nesse nível, analisando interações entre humanos, agentes e plataformas para evitar desvios. Em fala direta, destacou que isso acontece “na escala de milhões de transações por segundo”, preservando os limites definidos para cada agente.
Ao mesmo tempo, entra em cena uma abordagem mais agressiva: testar continuamente os sistemas com ataques simulados. A lógica é simples — se alguém vai tentar quebrar o agente, melhor que isso aconteça primeiro dentro de casa.
É aqui que a F5 tenta responder a uma pergunta inevitável: como operar nesse novo cenário sem abrir mão da inovação?
A abordagem apresentada no encontro passa por três camadas complementares — e, em certa medida, revela como a própria segurança precisa evoluir junto com os agentes.
A primeira é a capacidade de entender linguagem em profundidade. Segundo os executivos presentes, “protege-se interações entre um ser humano e o Agente de IA, entre dois Agentes de IA, e entre o Agente de IA e as grandes plataformas”. Em termos práticos, isso indica uma mudança de postura: sair de uma lógica reativa para um modelo que interpreta contexto, intenção e semântica antes que o problema aconteça. Em termos práticos, isso significa sair de uma lógica reativa e entrar em um modelo que interpreta contexto, intenção e semântica antes que o problema aconteça.
A segunda camada é quase contraintuitiva: atacar para proteger
Plataformas como o F5 AI Red Team são usadas para simular ofensivas constantes, testando limites e explorando vulnerabilidades antes que agentes maliciosos reais o façam. Na leitura de um dos dois executivos, a ideia é simples — expor o sistema ao pior cenário possível, de forma controlada.
Por fim, há um esforço contínuo de correção e adaptação. A lógica não é mais de proteção estática, mas de ajuste permanente. Sempre que uma vulnerabilidade é identificada, ela precisa ser rapidamente tratada e reintegrada ao sistema de defesa, fechando o ciclo entre ataque, análise e resposta.
Em síntese, a F5 não propõe eliminar o risco — algo inviável nesse estágio da tecnologia —, mas torná-lo administrável. Ou, como ficou implícito ao longo da conversa, criar condições para que empresas possam explorar agentes de IA cada vez mais “humanos” sem perder o controle sobre eles.
O desafio, no fim, não é técnico apenas. É quase filosófico: como construir sistemas que pensam, interagem e convencem… sem que eles próprios sejam convencidos no caminho.
O que fica, ao final da conversa, não é apenas uma preocupação técnica. É uma mudança de paradigma.
Estamos construindo agentes que negociam, convencem, interagem — e agora, também, podem ser convencidos.
E talvez essa seja a pergunta mais importante que ficou no ar, ainda sem resposta definitiva: quando damos personalidade à máquina, estamos melhorando a experiência… ou abrindo uma nova porta para manipulação?
Porque, ao que tudo indica, não são mais só humanos que caem em engenharia social.
Sobre a F5
A F5, Inc. (NASDAQ: FFIV) é líder global no fornecimento e na proteção de todos os aplicativos. Com três décadas de experiência, a F5 criou a principal plataforma do setor — a F5 Application Delivery and Security Platform (ADSP) — para fornecer e proteger todos os aplicativos e APIs em qualquer lugar: no local, na nuvem, na borda e em ambientes híbridos e multicloud. A F5 está comprometida com a inovação e a parceria com as maiores e mais avançadas organizações do mundo para oferecer experiências digitais rápidas, disponíveis e seguras. Juntos, ajudamos uns aos outros a prosperar e a criar um mundo digital melhor.
Quando o acesso ganha autonomia: agentes de IA estão quebrando o modelo clássico de controle
Quando o chefe é um algoritmo: gestão, poder e a nova arquitetura do trabalho
When Algorithms Manage Work under Economic, Legal and HR Perspectives. By Susana Taboas
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.
