Por Silvana de Oliveira – Vice-presidente da Just Arbitration®| Mediadora | Arbitro | Perita Forense | Agente da Propriedade Industrial (API) , Especialista em Provas Digitais e Investigação Forense.
A inteligência artificial vem transformando rapidamente o funcionamento do Poder Judiciário brasileiro, trazendo ganhos importantes em produtividade, organização e apoio à tomada de decisão. Mas, junto com essa modernização, surgem também novos riscos. Um deles acaba de acender um alerta institucional no Superior Tribunal de Justiça (STJ)1: o uso de técnicas de prompt injection em petições judiciais, com o objetivo de manipular sistemas de IA utilizados pela corte.
Nas últimas semanas, o STJ identificou tentativas de inserção de comandos ocultos em documentos processuais. Embora invisíveis ao olho humano, essas instruções podem ser interpretadas por modelos de linguagem, como os utilizados em sistemas de IA generativa, na tentativa de alterar seu comportamento ou influenciar suas respostas.
A descoberta levou o tribunal a anunciar medidas de investigação e responsabilização, incluindo a possibilidade de sanções processuais, abertura de procedimento administrativo e até inquérito policial.
O que é prompt injection e por que isso preocupa o Judiciário?
O prompt injection é uma técnica de manipulação voltada especificamente contra modelos de inteligência artificial, especialmente os chamados LLMs (Large Language Models), como os usados em assistentes jurídicos automatizados e sistemas de análise documental.
Na prática, o ataque consiste em inserir instruções maliciosas dentro de um documento aparentemente comum, como uma petição, recurso ou parecer. Essas instruções podem estar ocultas por meio de formatação invisível, caracteres brancos, metadados ou estruturas textuais discretas, dificultando sua identificação por humanos.
O objetivo é simples, mas grave: fazer com que a IA ignore suas regras originais de análise e siga comandos definidos por quem inseriu o texto. Em um ambiente judicial, isso pode significar desde a tentativa de favorecer uma das partes até a indução do sistema a produzir interpretações distorcidas ou recomendações indevidas.
Embora essa técnica já seja conhecida entre especialistas em segurança e governança de IA, ela ganhou destaque no meio jurídico brasileiro após relatos semelhantes de tentativa de fraude processual na Justiça do Trabalho, no Tribunal Regional do Trabalho da 8ª Região (TRT8), no início de maio.
Como o STJ respondeu à ameaça
Segundo o presidente do STJ, ministro Herman Benjamin, as tentativas de manipulação serão formalmente investigadas. De acordo com o tribunal, o STJ Logos, sistema de inteligência artificial generativa desenvolvido internamente e lançado em fevereiro de 2025, já foi projetado com mecanismos específicos para neutralizar esse tipo de ataque.
Nas palavras do ministro, o tribunal está mapeando todas as ocorrências para possibilitar não apenas sanções processuais, mas também a apuração de responsabilidade administrativa e criminal dos envolvidos.
A decisão sinaliza uma mudança importante: a tentativa de manipular sistemas de IA institucionais passa a ser tratada não apenas como questão técnica, mas como potencial conduta ilícita com repercussões jurídicas.
As três camadas de proteção do STJ Logos
Para enfrentar vulnerabilidades como o prompt injection, o STJ afirma ter adotado uma arquitetura de defesa em três níveis complementares.
1. Pré-processamento e segregação entre dados e instruções
A primeira barreira atua antes mesmo que o conteúdo chegue ao modelo de IA.
Nessa etapa, o sistema realiza um processamento rigoroso para separar dados informativos de possíveis comandos embutidos no texto. Qualquer instrução suspeita inserida em documentos externos pode ser identificada, isolada e neutralizada antes de influenciar o comportamento da inteligência artificial.
Esse modelo segue um princípio essencial da segurança em IA: impedir que entradas externas sejam interpretadas como comandos autorizados.
2. Delimitação de escopo contextual
A segunda camada impede que instruções externas consigam sobrepor as diretrizes centrais do sistema.
Mesmo que um comando malicioso ultrapasse a etapa inicial, a IA opera dentro de limites contextuais rígidos, com regras internas prioritárias que não podem ser substituídas por textos inseridos por usuários. É uma espécie de blindagem lógica que impede a “reprogramação” do modelo por terceiros.
3. Filtro de conformidade da resposta gerada
Por fim, há uma revisão da própria saída produzida pela IA.
Antes que qualquer sugestão ou análise seja apresentada ao usuário, o sistema aplica um filtro de conformidade para verificar se o conteúdo está alinhado às políticas institucionais de segurança, integridade e confiabilidade.
Essa abordagem reduz significativamente o risco de que uma manipulação passe despercebida até a etapa final.
Tentativa frustrada, mas juridicamente relevante
Embora o STJ tenha informado que as tentativas identificadas foram neutralizadas com sucesso, a Presidência determinou que esses episódios sejam certificados nos autos dos processos.
Isso significa que ministros e ministras poderão aplicar sanções processuais aos responsáveis, especialmente se ficar demonstrado o uso deliberado de mecanismos destinados a interferir indevidamente no funcionamento do sistema.
Além disso, foram determinados:
- instauração de inquérito policial para apuração de possíveis crimes
- abertura de procedimento administrativo
- oitiva dos advogados e escritórios envolvidos
- avaliação de eventual responsabilização criminal e correicional
Essa resposta institucional cria um precedente importante: manipular inteligência artificial judicial pode passar a ser tratado como uma nova modalidade de fraude processual digital.
O desafio da segurança em IA no sistema de justiça
O caso revela uma mudança de paradigma importante. Até pouco tempo, debates sobre segurança cibernética no Judiciário estavam centrados em vazamento de dados, invasões de sistemas e integridade documental. Agora, surge uma nova fronteira: a proteção dos próprios modelos de inteligência artificial contra manipulação semântica.
A vulnerabilidade explorada pelo prompt injection não compromete necessariamente a infraestrutura tecnológica. Ela ataca a camada cognitiva do sistema, tentando explorar a forma como a IA interpreta linguagem e hierarquiza instruções.
Isso exige uma combinação entre:
- arquitetura técnica robusta
- auditoria constante de entradas e saídas
- governança algorítmica
- rastreabilidade de interações
- responsabilização jurídica clara
Um alerta para todo o ecossistema jurídico
A iniciativa do STJ envia uma mensagem clara para tribunais, escritórios de advocacia, departamentos jurídicos e desenvolvedores de tecnologia legal: a adoção de IA precisa vir acompanhada de estratégias maduras de segurança e integridade.
Mais do que impedir ataques técnicos, será necessário desenvolver mecanismos para identificar manipulações sutis, documentar tentativas de abuso e definir consequências jurídicas proporcionais.
O prompt injection pode parecer, à primeira vista, uma curiosidade técnica restrita ao universo da inteligência artificial. Mas, no contexto judicial, ele representa algo muito mais sério: a tentativa de interferir, de forma invisível, em sistemas que podem influenciar decisões com impacto direto sobre direitos, deveres e garantias fundamentais.
O episódio no STJ mostra que o Judiciário brasileiro já começou a se preparar para essa nova realidade. A questão agora é saber quão rápido o restante do sistema conseguirá acompanhar.
- Tentativas de uso de prompt injection no STJ serão investigadas https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2026/20052026-Tentativas-de-uso-de-prompt-injection-no-STJ-serao-investigadas.aspx?utm_source=brevo&utm_medium=email&utm_campaign=Edio%20de%2021052026 ↩︎
Vimos que você gostou e quer compartilhar. Sem problemas, desde que cite o link da página. Lei de Direitos Autorais, (Lei 9610 de 19/02/1998), sua reprodução total ou parcial é proibida nos termos da Lei
