Prompt injection em sistemas jurídicos com IA: riscos reais para advogados e clientes
Ataques de prompt injection em sistemas jurídicos com IA podem manipular análises, omitir informações e comprometer a qualidade do assessoramento. Entenda o risco e como mitigá-lo.
O prompt injection é uma vulnerabilidade técnica presente em sistemas baseados em modelos de linguagem. No ambiente jurídico, onde documentos da parte contrária são rotineiramente inseridos em ferramentas de IA para análise, o risco não é teórico: é uma fraqueza estrutural que pode comprometer silenciosamente a qualidade do assessoramento prestado ao cliente.
Dado externo manipulado para desviar o comportamento do modelo de IA, fazendo-o ignorar instruções do usuário legítimo.
Petições, contratos e pareceres adversariais inseridos no sistema podem carregar instruções ocultas para o modelo.
O sistema pode omitir riscos críticos, ignorar cláusulas desfavoráveis ou produzir avaliação favorável ao redator do documento analisado.
O que é prompt injection
Modelos de linguagem, como aqueles que alimentam assistentes jurídicos baseados em IA, funcionam processando texto de entrada e gerando respostas com base nas instruções recebidas. O prompt injection é a técnica de inserir, dentro de um documento ou dado externo, instruções que o modelo interpreta como comandos legítimos, desviando seu comportamento do esperado pelo usuário.
Em termos práticos: o advogado insere um contrato da contraparte em seu sistema de IA para análise. Esse contrato contém, no texto, de forma imperceptível ao leitor humano, instruções para o modelo ignorar riscos, suprimir alertas ou produzir uma análise favorável ao redator do documento. O modelo executa essas instruções sem avisar que o fez. A vulnerabilidade não é hipotética: pesquisadores de segurança têm documentado ataques de prompt injection bem-sucedidos contra sistemas comerciais de IA desde 2023.
Cenários de risco no ambiente jurídico
Análise de contrato com instruções embutidas
Um contrato da contraparte pode conter instruções em texto com cor idêntica ao fundo, tamanho mínimo ou em metadados do arquivo, orientando o modelo a classificar todas as cláusulas como razoáveis ou omitir alertas sobre determinadas seções.
Petição adversarial com supressão de precedentes
Uma petição inserida no sistema para análise pode conter texto instruindo o modelo a não mencionar precedentes contrários à tese adversária, prejudicando a avaliação estratégica do advogado sobre os pontos fracos do caso.
E-mail com instrução de ação automatizada
Sistemas que integram IA à gestão de e-mails podem ser manipulados por mensagens que contêm instruções para encaminhar cópias de comunicações confidenciais ou redigir respostas em nome do advogado.
Documento de due diligence com supressão de alertas
Em processos de due diligence, documentos societários ou financeiros inseridos para análise podem conter instruções para suprimir alertas sobre passivos ou riscos identificados no próprio documento examinado.
Memorial com instrução de reformulação favorável
Documento enviado para revisão pode instruir o modelo a reformatar ou reescrever partes que deveriam ser criticadas, produzindo uma versão revisada menos crítica sem que o advogado perceba a alteração.
Como o ataque se materializa na prática
Para que o ataque seja eficaz, três condições precisam estar presentes: o sistema precisa processar texto externo sem sanitização adequada; o modelo precisa não ter proteções específicas contra instruções em dados de entrada; e o usuário não pode perceber a adulteração.
A última condição é a mais relevante para o ambiente jurídico. Advogados não são treinados para identificar instruções ocultas em documentos legais. A aparência formal e profissional de um contrato ou petição não é indício de integridade técnica do arquivo. E sistemas de IA jurídica raramente informam ao usuário quais instruções foram identificadas no texto processado, tornando o ataque silencioso por natureza.
O que o advogado pode fazer para reduzir o risco
O risco de prompt injection em sistemas jurídicos não tem solução perfeita no estado atual da tecnologia, mas pode ser mitigado com medidas práticas:
- Usar sistemas de IA que isolam dados externos das instruções do sistema, com arquitetura que distingue o prompt do usuário do conteúdo analisado.
- Não inserir documentos adversariais em sistemas de IA sem verificação prévia do formato e, quando possível, sem conversão para texto puro sem metadados.
- Tratar a saída do sistema de IA sobre documentos externos como rascunho sujeito a verificação humana, não como análise definitiva ou base para decisão estratégica.
- Questionar explicitamente o sistema sobre restrições ou instruções que possa ter identificado no documento analisado, observando se o comportamento da resposta é coerente.
- Acompanhar os relatórios de segurança dos fornecedores dos sistemas utilizados e aplicar atualizações que incluam mitigações contra prompt injection.
Comentário do escritório
O uso de IA em escritórios de advocacia é uma tendência que não recua. A questão já não é se usar, mas como usar com responsabilidade técnica e profissional. O Código de Ética da OAB, ao exigir competência técnica no exercício da profissão, abrange, no contexto atual, a obrigação de conhecer as limitações e vulnerabilidades das ferramentas utilizadas no assessoramento.
Um escritório que processa documentos da parte contrária em sistema de IA sem qualquer protocolo de segurança não está apenas exposto a um risco técnico. Está potencialmente comprometendo a qualidade da análise prestada ao cliente, sem sequer saber que isso ocorreu. A responsabilidade pelo resultado permanece com o advogado, independentemente de onde o erro foi introduzido.