Prompt injection no STJ: vice-presidente vê crime e ação disciplinar

O vice-presidente do Superior Tribunal de Justiça, ministro Luis Felipe Salomão, afirmou que tentativas de manipular sistemas de inteligência artificial do Judiciário por meio de prompt injection extrapolam o debate ético e configuram caso de polícia, devendo ser apuradas tanto na esfera administrativa quanto criminal. A declaração, dada durante o XIV Fórum de Lisboa, reforça a posição institucional anunciada pelo presidente da Corte, ministro Herman Benjamin, de que ocorrências recentes em petições serão mapeadas para subsidiar sanções processuais e responsabilização dos envolvidos.

Contexto

O prompt injection é uma técnica de manipulação de modelos de linguagem que consiste em inserir, em documentos aparentemente comuns, instruções ocultas — em fontes minúsculas, texto branco sobre fundo branco, metadados ou caracteres especiais — direcionadas ao sistema de IA que processará aquele conteúdo. O objetivo é desviar o comportamento do modelo: induzi-lo a resumir favoravelmente uma das partes, omitir argumentos contrários, classificar incorretamente a peça ou gerar minutas viciadas.

A preocupação ganhou corpo porque o Judiciário brasileiro acelerou a adoção de IA generativa para triagem, sumarização e auxílio na elaboração de decisões. O STJ opera o Logos, ferramenta interna de IA generativa, e o STF, o TST e diversos TJs mantêm projetos similares — todos sob a moldura da Resolução CNJ 332/2020, que regula ética, transparência e governança no uso de IA pelo Judiciário, e da Resolução CNJ 615/2025, que atualizou os parâmetros após a popularização dos modelos generativos. Segundo o STJ, as tentativas detectadas nas últimas semanas foram neutralizadas pelas camadas de segurança da Corte, mas escancararam um vetor de ataque até então tratado de forma pontual.

O que foi decidido

Não se trata de decisão colegiada, mas de orientação institucional do segundo na hierarquia do STJ. Salomão sustentou que, quando há má-fé na utilização da IA, a conduta deixa o terreno deontológico e ingressa no campo da ilicitude, exigindo apuração dual: administrativa (para advogados, servidores e demais operadores) e criminal. O ministro destacou ainda que a punição adequada cumpre função preventiva, dissuadindo novas tentativas, e que o Logos já incorpora mecanismos de identificação de fraudes e detecção de anomalias em peças processuais.

Base normativa e precedentes

• Arts. 77 e 80 do CPC (Lei 13.105/2015) — Deveres das partes e tipificação da litigância de má-fé; a inserção de comandos ocultos para enganar sistema de apoio à decisão pode caracterizar conduta temerária e proceder de modo desleal, ensejando multa e indenização.
• Art. 142 do CPC — Autoriza o juiz a coibir atos contrários à dignidade da Justiça e a aplicar as sanções cabíveis quando constatado uso do processo para fim manifestamente ilegal.
• Art. 34 da Lei 8.906/1994 (EOAB) — Define infrações disciplinares do advogado; condutas fraudulentas no patrocínio podem desaguar em processo ético-disciplinar perante o Tribunal de Ética da OAB.
• Art. 299 do Código Penal — Falsidade ideológica, hipótese cogitável quando o conteúdo oculto destina-se a fazer inserir declaração falsa em documento ou em registro produzido pelo sistema.
• Art. 171 do Código Penal e art. 154-A (invasão de dispositivo informático) — Estelionato e crimes cibernéticos podem ser examinados conforme o resultado pretendido pela manipulação.
• Resolução CNJ 332/2020 e Resolução CNJ 615/2025 — Disciplinam ética, transparência, auditabilidade e supervisão humana no uso de IA pelo Judiciário, base normativa para responsabilização administrativa interna.
• LGPD (Lei 13.709/2018) — Incide quando a manipulação envolve tratamento indevido de dados pessoais contidos nos autos.

Impacto prático

• Para a advocacia: o uso de técnicas para enganar a IA do tribunal tende a ser tratado como litigância de má-fé qualificada, podendo gerar representação à OAB e notícia-crime, além de multa processual.
• Para escritórios que utilizam IA na elaboração de peças: cresce a exigência de governança interna — revisão humana, controle de templates importados e auditoria de PDFs gerados por terceiros, sob pena de responsabilização objetiva do subscritor.
• Para os tribunais: consolida-se a necessidade de red teaming permanente, sanitização de inputs, normalização de fontes e caracteres, e logs auditáveis sobre o que foi efetivamente lido pelo modelo.
• Para servidores e magistrados: reforça-se o dever de supervisão humana significativa sobre outputs da IA, em linha com o princípio da não substituição do julgador previsto nas resoluções do CNJ.
• Para o processo penal: abre-se um novo nicho de investigação envolvendo perícia digital em peças eletrônicas, análise de metadados e cadeia de custódia de documentos manipulados.

O que observar

O mapeamento anunciado pelo STJ deve produzir os primeiros casos concretos de sancionamento e, eventualmente, encaminhamento ao Ministério Público e à Polícia Federal — definindo, na prática, qual tipificação penal prevalecerá. Permanecem em aberto questões sensíveis: (i) como demonstrar dolo quando o autor da peça alega desconhecer o conteúdo oculto inserido por ferramenta automatizada; (ii) se o uso de modelos de IA por escritórios para gerar petições passará a exigir declaração expressa nos autos; (iii) qual o standard probatório para a perícia identificar a injeção; e (iv) se o CNJ editará norma específica de tipificação administrativa para prompt injection. Profissionais que operam com automação documental devem, desde já, implementar verificações antes do protocolo — o ônus reputacional e disciplinar de uma peça contaminada tende a recair sobre quem a subscreve.