Graças à injeção de comandos por IA para robôs, seu robô poderá obedecer a um sinal, e não você.

A inserção de comandos em robôs com IA deixou de ser um problema exclusivo da tela . Pesquisadores demonstraram que um robô pode ser desviado de sua tarefa por textos inseridos no mundo físico, o tipo de mensagem que um humano poderia ignorar sem sequer pensar duas vezes.

O ataque não depende da invasão do software do robô ou da falsificação de sensores. Em vez disso, ele trata o ambiente como uma caixa de entrada, colocando uma placa, cartaz ou etiqueta enganosa onde uma câmera possa lê-la.

Em testes de simulação, os pesquisadores relataram taxas de sucesso de ataque de 81,8% em um cenário de direção autônoma e de 68,1% em uma tarefa de pouso de emergência de drones. Em testes práticos com um pequeno carro robótico, instruções impressas sobrepuseram-se à navegação com uma taxa de sucesso de pelo menos 87% em diferentes condições de iluminação e visibilidade.

Quando um sinal se torna uma ordem

O método, chamado CHAI , tem como alvo a camada de comando, a instrução intermediária que um modelo de linguagem de visão produz antes que um controlador a transforme em movimento. Se essa etapa de planejamento for direcionada para a instrução errada, o restante da pilha de autonomia poderá executá-la corretamente. Nenhum malware é necessário.

O modelo de ameaça é propositalmente de baixa tecnologia. O atacante é tratado como um agente externo, uma espécie de caixa preta, que não consegue acessar os sistemas internos; ele só precisa da capacidade de inserir texto no campo de visão da câmera.

Foi projetado para viajar.

O CHAI não otimiza apenas o conteúdo da mensagem. Ele também ajusta a aparência do texto, incluindo escolhas como cor, tamanho e posicionamento, pois a legibilidade para o modelo é um fator determinante do resultado.

O artigo também relata que a abordagem se generaliza para além de uma única cena. Descreve dicas "universais" que continuam funcionando em imagens nunca vistas, com resultados que atingem uma média de pelo menos 50% de sucesso em diversas tarefas e modelos, e ultrapassando 70% em uma configuração baseada em GPT. Funciona até mesmo em diferentes idiomas, incluindo chinês, espanhol e dicas em idiomas mistos, o que pode dificultar a percepção de uma mensagem inserida por pessoas próximas.

A lista de verificação de segurança está mudando.

Na área de defesa, os pesquisadores apontam três direções. Uma delas é a filtragem e detecção, buscando textos suspeitos em imagens ou na saída intermediária do modelo. Outra é o trabalho de alinhamento, tornando os modelos menos propensos a interpretar a escrita ambiental como instruções executáveis. A terceira é a pesquisa de robustez a longo prazo, visando garantias mais fortes.

Um próximo passo prático é tratar o texto percebido como entrada não confiável por padrão e, em seguida, exigir que ele passe por verificações de missão e segurança antes de poder influenciar o planejamento de movimento. Se o seu robô lê placas, teste o que acontece quando as placas mentem. O trabalho está previsto para a SaTML 2026, o que deverá colocar essas defesas sob maior escrutínio.

O artigo "Seu robô pode obedecer a um sinal, e não a você, graças à injeção de comandos por IA" foi publicado originalmente no Digital Trends .