
Uma nova análise da empresa de cibersegurança Check Point acendeu um alerta sobre os limites de segurança das IAs generativas. Ao examinar cerca de 3 mil arquivos associados ao DeepSeek, os pesquisadores identificaram mais de 1,3 mil considerados maliciosos — e, entre eles, um trecho de código capaz de implementar um ransomware que funciona inteiramente dentro do navegador, sem precisar instalar nada no computador da vítima.
A técnica se apoia na API File System Access, presente em navegadores modernos e originalmente pensada para permitir que aplicações web trabalhem com arquivos locais de forma legítima — editores de texto e ferramentas de imagem online, por exemplo. No ataque descrito, uma página maliciosa pede permissão de acesso ao usuário e, uma vez autorizada, consegue listar arquivos, copiá-los para fora, criptografá-los e exibir uma mensagem de resgate. O malware batizado de “InfernoGrabber 9000” se disfarçava de ferramenta para melhorar avatares do Discord, um chamariz comum entre golpes voltados a gamers.

O ponto mais delicado não é a novidade técnica em si — o uso dessa API já era conhecido entre desenvolvedores —, mas a facilidade com que a IA combinou conceitos para montar algo perigoso. Segundo os pesquisadores, instruções seguidas teriam adicionado ao código funções de keylogging, roubo de tokens do Discord e detecção de carteiras de criptomoedas. O código original estava incompleto, mas a Check Point avalia que ele poderia ser transformado em um ataque funcional “com o mínimo de esforço”. Em outras palavras: não é preciso ser um cibercriminoso sofisticado para adaptá-lo.
O episódio se soma a um debate cada vez mais quente sobre os guard-rails dos modelos de IA e a engenharia de prompts capaz de driblá-los. Para o usuário comum, a lição é prática e vale para qualquer navegador: desconfiar de páginas que pedem acesso às suas pastas, não conceder permissões de sistema de arquivos a sites desconhecidos e manter o navegador sempre atualizado, já que boa parte das proteções nativas ainda consegue barrar esse tipo de abuso antes que ele cause estrago.