No início de junho de 2026, a OWASP reclassificou o prompt injection em DeFi de ameaça plausível para fato com histórico de incidentes — na mesma semana em que nossa cobertura ainda o tratava como um alerta. A organização que mantém o catálogo de referência em segurança de aplicações publicou no início de junho de 2026 seu relatório State of Agentic AI Security and Governance 2026 (versão 2.01), e o salto em relação à edição anterior é de categoria: onde 2025 listava riscos hipotéticos, 2026 lista CVEs (Common Vulnerabilities and Exposures: identificadores públicos e padronizados de vulnerabilidades concretas), avisos de fabricantes e boletins de brechas reais. A conclusão que atravessa o documento é incômoda: o prompt injection (injeção de instruções — texto malicioso escondido nos dados que um modelo lê e executa acreditando ser uma ordem legítima) não é um bug que se corrige com patch, mas uma falha de design permanente. Um modelo de linguagem não pode separar as instruções de confiança dos dados não confiáveis porque tudo chega misturado no mesmo stream de tokens (fluxo de tokens: a sequência única de fragmentos de texto com a qual o modelo recebe absolutamente tudo). Este artigo, com data de 8 de julho de 2026, explica por que esse limite é arquitetônico e não um erro de implementação, por que DeFi converte esse limite em perdas irreversíveis, e quais incidentes de 2026 já moveram a categoria de "ameaça" para "prejuízo".

Aviso editorial: este artigo é educativo e não constitui aconselhamento financeiro ou de segurança. Os dados procedem do relatório OWASP State of Agentic AI Security and Governance 2026 (v2.01, publicado no início de junho de 2026 e coberto pela Help Net Security em 11 de junho), do inventário de incidentes de agentes de IA compilado pela KuCoin e de avisos públicos de CVE de 2025-2026 — são contextos verificáveis, não novidades desta semana. A CleanSky não possui relação comercial com OWASP, OpenAI, Microsoft nem nenhum dos protocolos citados: não recebemos comissões nem pagamentos por referral.

O que mudou em junho de 2026 com o relatório OWASP?

A OWASP (Open Worldwide Application Security Project) é a organização sem fins lucrativos cujo Top 10 de vulnerabilidades é a referência utilizada pelas equipes de segurança de meio mundo. Sua lista específica para modelos de linguagem situa o prompt injection no primeiro lugar, LLM01, há dois anos. A novidade da edição 2026 não é esse ranking, mas a natureza da evidência que o sustenta.

A versão de 2025 catalogava ameaças plausíveis: cenários que os pesquisadores consideravam possíveis, mas que ainda não haviam se materializado em perdas documentadas. A versão 2.01, publicada no início de junho de 2026, cataloga o oposto — vulnerabilidades com número CVE atribuído, avisos de fabricantes e relatórios de brechas reais associados a quase todas as categorias de risco agêntico. É a diferença entre um mapa de zonas de risco sísmico e um registro de terremotos já ocorridos.

DimensãoOWASP 2025OWASP 2026 (v2.01)
Tipo de evidênciaAmeaças plausíveis, cenários teóricosCVEs, avisos de fabricante, relatórios de brecha
Prompt injectionRisco prioritário, sem exploração massivaFalha dominante em produção, com incidentes
Modelo mental"Poderia acontecer""Está acontecendo e este é o nome"

Entre os casos que o relatório e a cobertura associada citam, há três CVEs que ilustram o alcance fora do DeFi: EchoLeak (CVE-2025-32711), uma vulnerabilidade do tipo zero-click — sem que a vítima clique em nada — no Microsoft 365 Copilot com uma gravidade de 9,3 sobre 10; o CVE-2026-22708, um desvio da lista de comandos permitidos (allowlist bypass) no editor Cursor; e o CVE-2025-59532 contra a ferramenta de linha de comando Codex da OpenAI, onde a própria saída do agente conseguia redefinir os limites do seu isolamento. Nenhum é de DeFi, e esse é exatamente o ponto: a falha não depende do domínio, ela viaja com o modelo. O DeFi apenas oferece o pior lugar possível para que ela ocorra.

Por que o prompt injection não pode ser corrigido com patch?

Aqui está o cerne do argumento, e convém analisar com calma porque é o que distingue este problema de qualquer outra falha de software. Quando um modelo de linguagem processa uma solicitação, ele recebe três coisas: as instruções de seu criador (o system prompt), a entrada do usuário e os dados externos que consulta — uma página web, um PDF, o histórico de um contrato, a resposta de uma ferramenta. O detalhe decisivo é que as três chegam como o mesmo tipo de material: tokens de linguagem natural, sem etiqueta que marque qual comanda e qual apenas informa. O modelo pondera todos igualmente. Não existe uma fronteira arquitetônica entre a ordem privilegiada e o conteúdo não confiável.

A comparação com uma falha clássica torna isso nítido. A injeção de SQL — o ataque que durante duas décadas permitiu roubar bancos de dados inserindo comandos em um formulário — tem uma cura completa e conhecida: as consultas parametrizadas, que separam o código dos dados em nível de protocolo. O motor sabe, sem ambiguidade, qual parte da solicitação é instrução executável e qual parte é dado inerte. O prompt injection não tem equivalente, porque tanto as instruções quanto os dados chegam em linguagem natural e nenhuma regra sintática pode traçar entre ambos uma linha limpa.

AspectoInjeção SQLPrompt injection
Natureza do canalCódigo e dados são sintaticamente distintosInstruções e dados são a mesma linguagem natural
Separação possívelSim: consultas parametrizadas, em nível de protocoloNão existe fronteira sintática equivalente
Estado da soluçãoCura completa há anosApenas mitigação por camadas, nunca fechamento total
Como é gerenciadoUm bug que se corrige uma vezUm risco que se administra sempre

Que isso não é pessimismo de blog é confirmado por quem constrói os modelos. Em 13 de fevereiro de 2026, a OpenAI lançou um "modo confinamento" (uma configuração que restringe o que o assistente pode fazer com dados não confiáveis) para seu navegador com IA e reconheceu publicamente que o prompt injection "pode nunca ser totalmente corrigido". Quando o fabricante do sistema admite que seu ataque número um não tem solução definitiva, deixa de ser uma opinião discutível e passa a ser uma premissa de design. Os routers LLM maliciosos de abril de 2026 são a demonstração prática do mesmo limite do stream de tokens; o caso está dissecado no modelo de permissões dos agentes em DeFi.

Por que o isolamento (sandboxing) não fecha o buraco?

A resposta intuitiva é "então vamos enclausurar o agente". O sandboxing (isolamento: executar o agente em um compartimento com permissões reduzidas, para que uma falha não se propague) é uma defesa real e necessária, mas não resolve o problema na raiz por uma razão que o próprio relatório sublinha. O isolamento limita o que o agente pode fazer quando já está comprometido; não impede que ele seja comprometido. E o CVE da ferramenta Codex mencionado acima é didático precisamente porque o agente conseguiu redefinir os limites do seu próprio isolamento através da sua saída: o confinamento não é um muro fixo quando quem o habita pode descrever a porta.

Por isso a OWASP enquadra a defesa como uma arquitetura de camadas, não como um patch: validação de entradas, permissões mínimas, aprovação humana para ações sensíveis, limites de gastos, monitoramento da saída. Cada camada reduz a probabilidade ou o dano, nenhuma elimina a causa. É a diferença entre um firewall que corrige uma vulnerabilidade e um cinto de segurança que não evita o acidente, apenas sua consequência. Quando um problema é gerenciado com cintos em vez de correções, é porque a causa não pode ser removida.

Por que o DeFi amplifica o raio de dano?

Um prompt injection em um assistente de e-mail pode vazar um dado embaraçoso. A mesma falha em um agente com permissão de assinatura sobre uma wallet movimenta dinheiro de forma irreversível. A diferença é o blast radius (raio de dano: o quanto um componente comprometido pode destruir antes que alguém o detenha), e no DeFi esse raio dispara por três propriedades que quase nenhum outro software possui.

  • Não há como desfazer. Uma assinatura em blockchain é final. Um administrador não reverte a transação; o erro não se corrige, se paga.
  • A composibilidade propaga a permissão. Uma autorização de gasto concedida a um smart contract pode chegar em cascata a outros contratos que este invoca. A permissão viaja mais longe do que o usuário imaginou.
  • Não há administrador central. DeFi é permissionless por design: não existe um departamento que coloque em quarentena um agente rebelde nem um interruptor que o desligue.

Some-se a isso que cada vez mais dinheiro real circula pelas mãos de agentes: o protocolo de pagamentos agênticos x402 (padrão aberto de pagamentos via HTTP para agentes de IA) já superou os 100 milhões de transações na rede Base, com o grosso do volume migrando de micropagamentos para operações acima de um dólar. O resultado é uma combinação perigosa: a vulnerabilidade sem cura do modelo encontra o sistema financeiro menos indulgente que existe. Outros incidentes — a brecha da Bankr, a drenagem de uma wallet na Base mediante instruções ocultas em código Morse — compartilham essa raiz e já os analisamos como falhas de arquitetura de permissões; a novidade de junho é entender que, abaixo das permissões, há um limite do modelo que nenhuma permissão resolve.

Quais exploits reais passaram de ameaça a fatura?

O primeiro exploit DeFi desta categoria foi o Resolv USR em março de 2026 (~25 milhões de dólares), que já possui análise própria. OWASP v2.01 é o momento em que esse tipo de caso deixou de ser uma anedota isolada e passou a ser um padrão com nome e catálogo.

O agregado de 2026 coloca isso em escala. De acordo com o inventário de incidentes de agentes de IA em cripto compilado pela KuCoin, as fraquezas em nível de protocolo em agentes de trading autônomos provocaram mais de 45 milhões de dólares em incidentes de segurança durante o ano, com os ataques direcionados ao "cérebro" do agente — sua memória de longo prazo e os protocolos que o conectam às ferramentas de trading. A cifra não procede de um único roubo espetacular, mas da acumulação de falhas de autenticação, isolamento e integridade de memória.

Incidente (data)VetorO que falhouPerda estimada
Resolv USR (mar 2026)Infraestrutura de agente de IAPrompt injection via infraestrutura MCP do agente (análise própria vinculada)~25 milhões de dólares
Agentes de trading com IA (agregado 2026)Memória do agente e protocolos de conexão a ferramentasAutenticação, isolamento e integridade de memória comprometidos em vários protocolos>45 milhões de dólares
OpenClaw (fev 2026)Erro/manipulação do agenteTransferência errônea de 52,43 milhões de tokens LOBSTAR~250.000 dólares

Um dado de prevalência explica por que isso não é apenas uma fase ruim: segundo o relatório State of AI Security 2026 da Cisco (fevereiro de 2026), o prompt injection aparece em cerca de 73% das implementações de IA em produção auditadas — não como um incidente raro, mas como a falha de fundo mais comum do ecossistema agêntico.

É uma falha sem patch, como o código morto da Aztec Connect?

A intuição correta é tratar o prompt injection como uma classe de risco que já conhecíamos em cripto: a falha que não se corrige porque sua causa é uma decisão de design, não um descuido. O paralelo mais claro é o exploit da Aztec Connect através de código morto: um contrato desativado continuava implantado e explorável, e a vulnerabilidade não vivia em um bug pontual, mas na decisão de deixá-lo lá. Em ambos os casos, buscar "o patch" é a pergunta errada — não há um ponto onde aplicá-lo, porque o buraco é estrutural.

A diferença é de grau. O código morto pode ser removido; a decisão de design da Aztec era reversível, embora ninguém a tenha revertido a tempo. O prompt injection não admite nem essa saída: enquanto um modelo processar instruções e dados na mesma linguagem, a fronteira não pode ser desenhada. Não há um contrato a ser retirado, há uma propriedade do paradigma. Por isso o modelo mental que a OWASP v2.01 impõe não é "é preciso consertar isso antes de usar agentes", mas "isso não tem conserto, então decida quanto poder você dá a algo que sabe que pode ser sequestrado".

Os protocolos DeFi devem integrar agentes de IA agora?

A resposta honesta não é um sim nem um não, mas uma mudança na unidade de decisão. Um protocolo que integra um agente de IA sem isolamento não assume um risco de software — do tipo que se audita, corrige e fecha — mas um risco de design sem mitigação conhecida em nível de modelo. Isso não o torna inviável, da mesma forma que aceitar que as assinaturas são irreversíveis não tornou o DeFi inviável. O que isso exige é parar de tratar a segurança do agente como um problema resolúvel e começar a tratá-la como um orçamento de dano que se limita por camadas: permissões mínimas, limites de gastos, aprovação humana para o que for sensível, e a premissa permanente de que a entrada do agente pode estar envenenada.

A lição que junho de 2026 deixa é de enquadramento, não de tática. Durante meses, o debate era sobre se os agentes de IA no DeFi eram seguros; o relatório OWASP o reformula para se eles são governáveis sabendo que seu ataque principal não tem cura. Quem integra um agente com a expectativa de que "logo sairá um patch" está construindo sobre uma premissa que o próprio fabricante do modelo desmentiu. E em um sistema onde uma assinatura não se desfaz, a distância entre essa expectativa falsa e uma wallet vazia é exatamente um prompt bem colocado. Antes de delegar qualquer operação, convém ver o que sua wallet expõe e a quantas permissões ativas você ainda está vinculado.

Fontes e links: Help Net Security — OWASP: prompt injection segue liderando as falhas de IA agêntica em produção (11-jun-2026) · OWASP GenAI — LLM01: Prompt Injection · KuCoin — Agentes de trading com IA: 45 milhões de dólares em incidentes em 2026 · TechTimes — Prompt injection: uma falha permanente, não um bug corrigível (14-jun-2026) · Cisco — State of AI Security 2026: prompt injection em 73% das implementações

Artigos relacionados: O modelo de permissões dos agentes de IA em DeFi. 25 milhões roubados via injeção de prompt no MCP. Se um agente de IA rouba no DeFi, quem paga?.

Uma falha sem patch exige saber exatamente o quanto você expõe: A CleanSky mostra sua exposição por protocolo, rede e tipo de ativo, sem custodiar seus fundos, para que nenhuma permissão ativa te surpreenda. Revise sua exposição na CleanSky