Judiciário contra prompt injection: recomendações do CNJ para blindar IA

O Comitê Nacional de Inteligência Artificial do Judiciário, vinculado ao Conselho Nacional de Justiça, aprovou em maio de 2026 um conjunto de recomendações técnicas destinadas a proteger os sistemas judiciais contra ataques de prompt injection, uma técnica de manipulação que insere comandos ocultos em documentos para desviar o comportamento de ferramentas de inteligência artificial. Essa medida reflete a urgência de regulamentar o uso de IA no processo judicial diante da adoção massiva da tecnologia pelos tribunais brasileiros.

Contexto

A inteligência artificial tornou-se ferramenta rotineira nos órgãos judiciais nacionais. Pesquisas recentes indicam que aproximadamente 45,8% dos tribunais já incorporam alguma modalidade de IA para auxílio na geração, revisão ortográfica, melhoria ou sumarização de textos processuais — números que evidenciam uma transformação estrutural na forma como magistrados trabalham. Dos tribunais que ainda não adotaram a tecnologia, mais de 80% sinalizam intenção de implementá-la brevemente, consolidando a IA como infraestrutura essencial do judiciário.

Acontece que essa expansão abriu flanco para vulnerabilidades. O prompt injection representa exatamente isso: a exploração da confiança que sistemas de IA depositam nas instruções textuais recebidas, permitindo que um terceiro malicioso (advogado, parte, servidor) insira commandos dissimulados em documentos para subverter a resposta que a IA fornecerá. Texto em branco sobre fundo branco, fonte tamanho um, caracteres invisíveis por sobreposição de objetos — todas são técnicas que o olho humano não detecta, mas que a IA processa normalmente.

O risco é direto: decisões judiciais geradas (ou auxiliadas) por IA podem ser contaminadas por essas instruções ocultas, produzindo resultados tendenciosos ou fraudulentos. Não se trata apenas de corrupção técnica, mas de corrosão da legitimidade das próprias decisões jurisdicionais. Nesse contexto, a Ordem dos Advogados do Brasil também reagiu à expansão de IA através da Recomendação 001/2024, buscando alinhar o uso da tecnologia aos princípios éticos e deontológicos da profissão.

O que foi decidido

A Manifestação Técnica CNIAJ 1/2026 estabelece um conjunto coordenado de barreiras técnicas e procedimentais contra prompt injection. A recomendação não é vinculante, mas orienta os tribunais a adotar práticas estruturadas de defesa.

O primeiro mecanismo é a higienização de dados de entrada. Filtros automatizados devem identificar e bloquear textos invisíveis — aqueles codificados em cores não perceptíveis, fontes microscópicas, caracteres sobrepostos ou baixo contraste. Um script de segurança pode ser incorporado ao próprio processo de análise da IA, determinando que o sistema detecte e sinalize texto oculto em imagens ou documentos digitalizados antes de processar o conteúdo visível.

O segundo pilar é a rastreabilidade prévia. Antes de documentos externos (petições, contestações, recursos) serem submetidos a sistemas de geração automática de decisões, o operador deve validar o log de entrada, a identificação do usuário responsável, sua vinculação ao certificado digital (documento criptográfico que autentica a identidade) e a autenticidade do hash — assinatura matemática do arquivo que permite detectar qualquer alteração posterior.

O terceiro mecanismo é o de "contratos de resposta" ou constrained prompts. Diferentemente de prompts abertos (que permitem à IA gerar respostas variadas), aqui o comando judicial é estruturado de forma rígida e previamente definida, após análise minuciosa do caso. Se um comando oculto conseguir penetrar o filtro, a IA retornará a decisão já pré-elaborada, e qualquer desvio será imediatamente visível, expondo a fraude. Os prompts judiciais devem ser executados em etapas sucessivas, cada uma com margem reduzida de variação, multiplicando os pontos de verificação.

O quarto elemento é o encapsulamento de documentos não confiáveis. Antes de submetê-los a análise por IA, documentos de origem duvidosa devem ser isolados em ambientes controlados, reduzindo o risco de contaminação de bases de dados e sistemas operacionais.

Finalmente, a recomendação exige supervisão humana não formalista. Em comarcas com alta litigiosidade, onde volumes de processo são imensos, há risco de que a revisão humana se torne mera assinatura de rodapé. O CNJ recomenda que cada saída de IA seja comparada sistematicamente com a entrada, detectando anomalias. Ciclos periódicos de auditoria devem verificar possível "envenenamento" de bases de dados (inserção de documentos falsos ou fraudulentos) e recuperar conteúdo contaminado.

Base normativa e precedentes

• Código de Processo Civil (Lei 13.105/2015), arts. 77 e 80 — Fundamentam as sanções por ato atentatório à dignidade da justiça e litigância de má-fé, aplicáveis ao autor que usa prompt injection. Multas e responsabilidade civil cabe ao magistrado competente avaliar.

• Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) — Estabelece responsabilidade sobre integridade, autenticidade e segurança de dados em poder de operadores. Sistemas judiciais são responsáveis por proteger informações sob sigilo processual de vazamentos causados por manipulação de IA.

• Resolução CNJ 65/2008 (Política Nacional de Justiça Eletrônica) — Estabelece marcos para segurança da informação e certificação digital no poder judiciário, base para validação de certificados e hashs mencionados na recomendação.

• Jurisprudência do STJ — O Ministro Luis Felipe Salomão, em manifestações recentes, caracterizou prompt injection em contextos judiciais como "caso de polícia", sinalizando que condutas criminosas podem estar envolvidas.

• Recomendação OAB 001/2024 — Complementa a estratégia judicial, exigindo que advogados usem IA de forma ética e responsável, reforçando o dever de transparência e verificação.

Impacto prático

Para magistrados: A implementação das medidas recomendadas aumenta significativamente a confiabilidade das decisões geradas com suporte de IA. Na prática, significa:

• Revisão obrigatória de sistemas judiciais atuais para diagnosticar vulnerabilidades de exposição a prompt injection.
• Implementação de filtros de segurança nas plataformas onde IA interage com documentos processuais.
• Treinamento em identificação de anomalias nas saídas de IA — quando uma decisão não faz sentido jurídico ou favorece de forma suspeita uma das partes.

Para advogados: A recomendação cria responsabilidades novas, embora não plenamente detalhadas:

• Evitar inserção de texto oculto em qualquer documento processual — risco de multa por litigância de má-fé, sanções por ato atentatório à dignidade da justiça, e eventual comunicação a autoridades criminais.
• Maior diligência ao verificar que documentos não contenham inserções maliciosas antes de juntá-los aos autos.
• Transparência quanto ao uso de IA na preparação de peças — conforme Recomendação OAB 001/2024.

Para tribunais em geral: Necessidade de investimento em infraestrutura de segurança, treinamento técnico de servidores e auditorias cíclicas. A recomendação não fixou prazo para cumprimento, deixando espaço para adequação gradual, mas sinalizando que a questão é prioritária.

Para partes litigantes: Maior segurança de que suas decisões não serão enviesadas por fraudes técnicas, ainda que isso possa aumentar prazos de análise (pelo reforço de controles).

O que observar

A manifestação do CNJ é de natureza recomendatória, não vinculante — o que significa que não há força de lei e nenhum tribunal é obrigado a segui-la. Essa escolha pode refletir prudência regulatória (evitar normas muito rígidas num campo em evolução) ou limitação institucional do CNJ, que não detém poder de legislar. O resultado é que a adoção será heterogênea: tribunais bem estruturados implementarão os mecanismos rapidamente; outros podem negligenciar.

A ausência de prazo definido é particularmente relevante. Sem deadline, a implementação tende a ser lenta, deixando janelas de vulnerabilidade abertas por tempo indefinido, especialmente em órgãos já sobrecarregados.

Outro ponto: a manifestação prevê punição civil (multa por litigância) e referência a autoridades criminais, mas não estabelece qual será a conduta tipificada penalmente. Isso fica em aberto para eventual legislação ou desenvolvimento jurisprudencial — possivelmente crimes contra a administração da justiça ou falsificação de documentos.

Por fim, há risco de que a supervisão humana recomendada se torne, de fato, formalismo em comarcas saturadas. O CNJ reconhece o problema, mas a solução depende de investimento estatal em pessoal e ferramentas, questão orçamentária que está fora do escopo da recomendação técnica.

A regulamentação representa passo importante na tentativa de manter a integridade judicial numa era de automação crescente, mas sua eficácia dependerá da implementação coordenada e do reforço normativo subsequente.