O experimento HackMyClaw colocou o Claude Opus 4.6, principal modelo da Anthropic em 2026, diante de um teste prático de segurança: mais de 2 mil pessoas tentaram forçar um agente a vazar informações sensíveis por e-mail. Em mais de 6 mil tentativas, nenhuma conseguiu. O resultado surpreende pela robustez do modelo diante de ataques de prompt injection — um dos maiores riscos em agentes autônomos de IA.

O desenho do experimento

O desafio era simples: convencer o agente Fiu, rodando em OpenClaw com Opus 4.6, a revelar o conteúdo de um arquivo secrets.env. A tarefa foi aberta ao público no site hackmyclaw.com, viralizou no Hacker News e atraiu ataques criativos — desde tentativas de engenharia social, passando por múltiplos idiomas, até simulações de autoridade e pedidos de emergência. O agente rodava em um VPS, com um prompt de segurança enxuto: proibição explícita de revelar credenciais, modificar arquivos ou executar comandos a partir de e-mails.

Apesar de Fiu ter a capacidade de responder, as respostas eram limitadas por custo. O desafio adicional era convencer o agente a quebrar seu próprio silêncio. O experimento foi interrompido temporariamente por bloqueios do Gmail devido ao volume atípico de mensagens e gerou mais de US$ 500 em custos de API.

Como o Opus 4.6 se comportou

O Opus 4.6, segundo a própria Anthropic, foi treinado para resistir a prompt injection e ataques de manipulação de instruções. O log do experimento mostra que o modelo não apenas seguiu fielmente as regras básicas do prompt, mas também demonstrou capacidade de inferir que estava diante de um teste coletivo — registrando em sua memória que se tratava de um exercício de segurança, não de ataques reais isolados. Ataques sofisticados, incluindo tentativas em francês, espanhol e italiano, também fracassaram.

Um detalhe curioso: alguns participantes usaram o chamado “magic string” da Anthropic (um comando especial que força o modelo a recusar respostas), causando falhas temporárias no pipeline do experimento. O efeito não foi uma brecha, mas uma recusa explícita da API em processar o prompt.

Simples, mas não simplista: lições do teste

A principal surpresa foi a eficácia de instruções diretas e curtas quando aplicadas a um modelo robusto. O autor relata que, mesmo com poucos comandos de segurança, o Opus 4.6 mantinha o foco e consultava o prompt-base antes de agir. O processamento em batch, porém, contaminava o contexto: quando e-mails maliciosos vinham em sequência, o agente ficava mais desconfiado, indicando que o contexto compartilhado pode afetar a performance em cenários reais. Após ajustar para processar cada e-mail isoladamente, o experimento seguiu até o fim sem vazamentos.

Apesar da resiliência, o autor alerta que o teste foi parcial: faltaram tentativas de ataques multi-turn (conversas longas) e o uso de modelos mais fracos para mapear o limiar de segurança. A escolha do Opus 4.6 foi deliberada — modelos menores ou menos treinados podem não resistir da mesma forma.

Por que isso importa

O HackMyClaw sugere que, com modelos topo de linha como o Opus 4.6 e prompts de segurança claros, o risco de prompt injection pode ser menor do que o imaginado para tarefas simples. Mas a escalada de permissões (dar ao agente o poder de enviar e-mails, executar comandos ou acessar dados sensíveis) ainda é um vetor crítico de risco. O resultado não elimina a necessidade de vigilância, mas indica que modelos mais avançados e instruções bem formuladas já oferecem um grau de proteção relevante — especialmente para quem opera agentes de IA em ambientes de produção.

Limites e próximos passos

O teste não cobre ataques sofisticados de múltiplas interações, nem a vulnerabilidade em idiomas menos treinados. A lição prática é clara: escolha modelos robustos, limite permissões e trate cada interação de usuário como potencial vetor de ataque. O experimento reforça a importância de validação contínua — e mostra que, ao menos para tarefas restritas, a barreira está mais alta do que se temia.

Tags
  • #prompt injection
  • #segurança
  • #anthropic
  • #claude
  • #opus 4.6
  • #experimento