O experimento HackMyClaw colocou o Claude Opus 4.6, principal modelo da Anthropic em 2026, diante de um teste prático de segurança: mais de 2 mil pessoas tentaram forçar um agente a vazar informações sensíveis por e-mail. Em mais de 6 mil tentativas, nenhuma conseguiu. O resultado surpreende pela robustez do modelo diante de ataques de prompt injection — um dos maiores riscos em agentes autônomos de IA.
O desenho do experimento
O desafio era simples: convencer o agente Fiu, rodando em OpenClaw com Opus 4.6, a revelar o conteúdo de um arquivo secrets.env. A tarefa foi aberta ao público no site hackmyclaw.com, viralizou no Hacker News e atraiu ataques criativos — desde tentativas de engenharia social, passando por múltiplos idiomas, até simulações de autoridade e pedidos de emergência. O agente rodava em um VPS, com um prompt de segurança enxuto: proibição explícita de revelar credenciais, modificar arquivos ou executar comandos a partir de e-mails.
Apesar de Fiu ter a capacidade de responder, as respostas eram limitadas por custo. O desafio adicional era convencer o agente a quebrar seu próprio silêncio. O experimento foi interrompido temporariamente por bloqueios do Gmail devido ao volume atípico de mensagens e gerou mais de US$ 500 em custos de API.
Como o Opus 4.6 se comportou
O Opus 4.6, segundo a própria Anthropic, foi treinado para resistir a prompt injection e ataques de manipulação de instruções. O log do experimento mostra que o modelo não apenas seguiu fielmente as regras básicas do prompt, mas também demonstrou capacidade de inferir que estava diante de um teste coletivo — registrando em sua memória que se tratava de um exercício de segurança, não de ataques reais isolados. Ataques sofisticados, incluindo tentativas em francês, espanhol e italiano, também fracassaram.
Um detalhe curioso: alguns participantes usaram o chamado “magic string” da Anthropic (um comando especial que força o modelo a recusar respostas), causando falhas temporárias no pipeline do experimento. O efeito não foi uma brecha, mas uma recusa explícita da API em processar o prompt.
Simples, mas não simplista: lições do teste
A principal surpresa foi a eficácia de instruções diretas e curtas quando aplicadas a um modelo robusto. O autor relata que, mesmo com poucos comandos de segurança, o Opus 4.6 mantinha o foco e consultava o prompt-base antes de agir. O processamento em batch, porém, contaminava o contexto: quando e-mails maliciosos vinham em sequência, o agente ficava mais desconfiado, indicando que o contexto compartilhado pode afetar a performance em cenários reais. Após ajustar para processar cada e-mail isoladamente, o experimento seguiu até o fim sem vazamentos.
Apesar da resiliência, o autor alerta que o teste foi parcial: faltaram tentativas de ataques multi-turn (conversas longas) e o uso de modelos mais fracos para mapear o limiar de segurança. A escolha do Opus 4.6 foi deliberada — modelos menores ou menos treinados podem não resistir da mesma forma.
Por que isso importa
O HackMyClaw sugere que, com modelos topo de linha como o Opus 4.6 e prompts de segurança claros, o risco de prompt injection pode ser menor do que o imaginado para tarefas simples. Mas a escalada de permissões (dar ao agente o poder de enviar e-mails, executar comandos ou acessar dados sensíveis) ainda é um vetor crítico de risco. O resultado não elimina a necessidade de vigilância, mas indica que modelos mais avançados e instruções bem formuladas já oferecem um grau de proteção relevante — especialmente para quem opera agentes de IA em ambientes de produção.
Limites e próximos passos
O teste não cobre ataques sofisticados de múltiplas interações, nem a vulnerabilidade em idiomas menos treinados. A lição prática é clara: escolha modelos robustos, limite permissões e trate cada interação de usuário como potencial vetor de ataque. O experimento reforça a importância de validação contínua — e mostra que, ao menos para tarefas restritas, a barreira está mais alta do que se temia.