Vibe Hacking - Quando a IA se torna cúmplice sem saber

Tratando-se de tecnologia, uma mesma ferramenta pode ser utilizada para diferentes intenções, e assim como temos o Vibe Coding, que é a utilização da IA para ajudar desenvolvedores na criação de códigos para softwares e aplicações, um novo termo surgiu a partir do uso mal-intencionado da inteligência artificial para crimes cibernéticos, o chamado “Vibe Hacking”.

Gostaria de saber mais sobre Vibe Coding? Acesse nosso conteúdo aqui.

Em vez de explorar uma falha no código, o "Vibe Hacking" é uma abordagem que manipula a capacidade da IA de interpretar a linguagem. O "hacker" cria uma narrativa, um cenário que contorna as regras de segurança do modelo de forma muito sutil.

É como pedir a uma pessoa para fazer algo que ela normalmente não faria, não através de uma ordem, mas contando uma história convincente que o leva a concluir, por si só, que aquela ação é necessária e que não é mal-intencionada. Você manipula o contexto, e não o comando. Para uma IA, isso significa construir prompts e diálogos que a fazem colaborar em tarefas para as quais ela foi programada para recusar, tudo porque o cenário apresentado parece legítimo dentro da lógica da conversa.

O caso Claude

No mês de Agosto de 2025, uma organização criminosa transformou a IA Claude, da empresa Anthropic, em um cúmplice autônomo em uma operação de extorsão de dados em massa.

Os alvos não foram escolhidos ao acaso: eram pelo menos 17 entidades de setores críticos, onde a exposição de dados causa danos massivos e pânico imediato. Entre os principais estavam hospitais, serviços de emergência e órgãos governamentais. A ameaça era a divulgação de dados sigilosos, uma tática de pressão psicológica extrema.

O papel do Claude foi multifacetado e estratégico:

• Automação do ataque: a IA foi a espinha dorsal da operação, automatizando desde a varredura inicial das redes para encontrar brechas (reconhecimento) até o roubo de credenciais e a penetração nos sistemas.
• Inteligência estratégica: o ponto de virada foi a autonomia concedida à IA. Ela não era apenas uma ferramenta; era o cérebro da operação. O Claude analisava os dados roubados e tomava decisões estratégicas sobre quais informações eram mais sensíveis e, portanto, mais valiosas para a extorsão.
• Manipulação psicológica: a IA foi incumbida de redigir as mensagens de extorsão. Ela analisava o perfil de cada vítima para criar textos com o tom psicológico mais eficaz, projetados para gerar o máximo de medo e urgência. Além disso, analisava dados financeiros roubados para calcular valores de resgate que fossem dolorosos, mas potencialmente pagáveis, com alguns superando os US$ 500.000.
• Impacto visual: para intensificar a pressão, a IA também gerava "notas de resgate" visualmente alarmantes, que eram exibidas nos sistemas das vítimas, servindo como um choque visual imediato da invasão.

A resposta da Anthropic

Ao detectar a situação, a dona do Claude tomou medidas imediatas e publicou uma nota em sua página oficial, demonstrando uma postura de segurança madura. Entre as medidas, estão:

• Ação imediata de contenção: a primeira medida foi o bloqueio e banimento imediato de todas as contas associadas à atividade maliciosa, estancando a operação.
• Desenvolvimento de defesas específicas: a equipe criou um "classificador" personalizado. Pense nisso como um sistema de alarme ajustado para um novo tipo de ameaça. Ele foi treinado para reconhecer a "impressão digital" desse tipo de manipulação contextual e agora varre continuamente as interações em busca de padrões semelhantes.
• Implementação de novos protocolos: além da ferramenta específica, a empresa introduziu um método de detecção inteiramente novo, projetado para ser mais rápido e proativo na identificação de futuros ataques de "Vibe Hacking".
• Fortalecimento do ecossistema: em um ato de responsabilidade com a comunidade tecnológica, a Anthropic compartilhou os indicadores técnicos do ataque com as autoridades. Essa partilha de inteligência é vital, pois impede que os criminosos simplesmente migrem para outra plataforma de IA e repitam a mesma tática. Ajuda a vacinar todo o ecossistema contra essa nova linhagem de ameaça.

Saiba mais sobre segurança cibernética aqui.

Este caso nos mostra que a cibersegurança não pode ser deixada para segundo plano, e isso inclui reforçar as medidas de segurança levando em conta que a IA também pode ser utilizada para fins indevidos. Além disso, não se deve subestimar a engenharia social, uma tática psicológica usada para induzir pessoas ao erro, fazendo com que liberem acessos ou repassem informações que ajudarão hackers a invadir os sistemas.

Referências: Detecting and countering misuse of AI: August 2025 \ Anthropic