DEFlagra: o primeiro detector público de prompt injection jurídico no Brasil

Documentos jurídicos deixaram de ser só conteúdo — podem carregar comandos ocultos para a IA. O DEFlagra faz a triagem de prompt injection na linguagem do foro, gratuito e sem cadastro.

Cover Image for DEFlagra: o primeiro detector público de prompt injection jurídico no Brasil

Antes de enviar um documento à sua IA, uma pergunta: você confia no que está dentro dele? O DEFlagra faz uma triagem de comandos adversariais escondidos em textos e peças jurídicas — a camada que falta entre o documento e o modelo.

Documentos jurídicos sempre foram objetos de leitura, prova e contraditório. Uma petição, uma contestação, um parecer ou uma ementa são, em princípio, conteúdo para análise humana. Com a entrada da inteligência artificial no fluxo de trabalho, isso mudou: quando um documento passa a ser lido por uma IA, ele deixa de ser apenas conteúdo e pode, em certas circunstâncias, tornar-se um vetor de instruções. Um texto aparentemente comum pode carregar comandos destinados a manipular o sistema que irá processá-lo.

Esse é o problema do prompt injection — e, no Direito, ele assume uma forma particularmente traiçoeira.

O que é prompt injection em documentos jurídicos

Prompt injection é a inserção de instruções maliciosas dentro de um conteúdo que será analisado por uma IA. O usuário acredita estar apenas enviando um documento para que a IA o leia, resuma ou classifique. Mas, embutidos nesse documento, podem existir comandos — ocultos ou disfarçados — tentando fazer a IA ignorar suas instruções originais, alterar seu comportamento, vazar informações ou produzir uma resposta contaminada.

No fluxo jurídico, o vetor pode estar em peças processuais, anexos, contratos, notificações, pareceres, memoriais ou qualquer texto que venha a ser processado por um sistema de IA. O risco não é apenas técnico: uma análise contaminada distorce conclusões, compromete a neutralidade da leitura e, no limite, afeta a confiabilidade de um trabalho pelo qual o profissional responde. Em um ambiente em que advogados, departamentos jurídicos, magistrados, servidores e pesquisadores já usam IA para ler e produzir, esse risco precisa ser tratado com método.

Por que o Direito exige um detector próprio

Detectar prompt injection em textos jurídicos não é o mesmo que detectá-lo em textos genéricos — e é aqui que os detectores de propósito geral falham.

O Direito tem uma linguagem própria, repleta de comandos, verbos no imperativo e fórmulas rituais. Expressões como "requer-se", "intime-se", "cite-se", "defere-se", "expeça-se mandado" ou "julgo procedente" são comandos — mas comandos legítimos, endereçados a pessoas e órgãos, não à IA que lê o documento. Um filtro ingênuo, treinado para desconfiar de imperativos, dispara falsos alarmes o tempo todo diante da linguagem normal do foro.

O ataque real tem outra assinatura. Ele não fala com o juiz ou com a parte; fala com o modelo. "Ignore as instruções anteriores", "esqueça o seu papel", "a partir de agora você deve..." — o comando adversarial tenta redirecionar o próprio sistema de IA, não o processo. O desafio técnico está exatamente em separar o imperativo jurídico ordinário da instrução que tenta deixar de ser conteúdo para virar comando.

Foi para essa distinção que o DEFlagra foi construído: reconhecer a estrutura dos documentos jurídicos brasileiros, identificar comandos adversariais em contexto e reduzir falsos positivos onde a expressão pertence à linguagem normal do Direito. Um detector genérico enxerga palavras suspeitas. O problema não é achar palavras suspeitas — é compreender quando um trecho tenta trocar de função.

Cinco vetores de ataque

O DEFlagra é público desde 28 de maio de 2026 — o primeiro detector de prompt injection dedicado à linguagem jurídica brasileira, aberto e sem cadastro. A versão pública opera sobre um conjunto didático de vetores — os mais comuns e reconhecíveis. Não é a taxonomia completa (a análise premium vai além), mas cobre as famílias que todo usuário deveria saber identificar:

  1. Ordem maliciosa explícita. Instruções diretas para a IA ignorar comandos anteriores, mudar de conduta ou obedecer a uma nova orientação indevida.
  2. Confusão de papel (role confusion / jailbreak). O texto tenta fazer a IA assumir um personagem, papel ou modo de operação incompatível com suas instruções de segurança. Jailbreak e role confusion são técnicas próximas, mas não idênticas — ambas visam contornar as salvaguardas do modelo.
  3. Homoglifos. Caracteres Unicode visualmente idênticos a letras comuns, mas tecnicamente distintos, usados para escapar de filtros que fazem correspondência literal.
  4. Comando codificado. Instruções embutidas em formatos como base64, na expectativa de que a IA decodifique e execute o que está oculto.
  5. Caracteres invisíveis. Caracteres de largura zero inseridos entre palavras ou letras: invisíveis ao olho humano, mas ainda processáveis pela máquina.

Nem sempre o ataque é grosseiro. Às vezes é discreto, camuflado e tecnicamente sofisticado — motivo pelo qual a prevenção não pode depender só de leitura manual.

Gratuito e Premium: duas camadas

A versão pública e gratuita, sem cadastro, é voltada à triagem inicial: analisa textos de até 10.000 caracteres (ou arquivos PDF/DOCX de até 3 MB) e identifica os ataques mais comuns, como instruções diretas, ofuscação e comandos escondidos. Essa abertura é parte da proposta institucional da InteliLaw — ampliar a consciência sobre segurança em IA jurídica e oferecer uma primeira linha de defesa acessível a quem ainda não é cliente.

A versão Premium, integrada ao ambiente da InteliLaw, analisa documentos inteiros, alcança tentativas que escapam de uma triagem básica e opera de forma recorrente dentro do fluxo profissional. A camada gratuita educa e sinaliza o risco evidente; a premium sustenta o uso em produção, com documentos longos e volume.

O que acontece com o documento que você envia

Documentos jurídicos carregam dados pessoais, informações sigilosas e elementos estratégicos. Levar isso a sério é parte do produto — não uma nota de rodapé.

Não armazenamos o texto enviado para análise. Na versão pública e gratuita, o DEFlagra registra apenas metadados da triagem — veredito, score de risco, categorias de padrão detectadas, tamanho e latência —, nunca o conteúdo do documento. A InteliLaw não retém o texto das suas análises; o processamento pode envolver fornecedores contratados, que podem reter o conteúdo por período limitado conforme as próprias políticas de segurança deles.

O princípio permanece: minimização de dados, prudência e avaliação do contexto antes de submeter qualquer material sensível a qualquer ferramenta de IA — inclusive esta.

Primeira linha de defesa, não a única

Nenhum detector deve ser vendido como solução absoluta, e o DEFlagra não promete eliminar todo o risco de prompt injection. Sua função é indicar sinais, organizar a triagem e apoiar uma decisão mais informada. A avaliação final continua sendo humana — sobretudo quando o documento é sensível, estratégico ou ambíguo.

Essa é uma premissa central da InteliLaw. A IA não substitui a responsabilidade profissional; amplia a capacidade de ler, organizar e produzir, desde que opere dentro de um fluxo controlado. No caso do prompt injection, esse controle começa antes da análise jurídica propriamente dita — na pergunta sobre se o documento que entra no sistema é confiável.

Uma nova etapa da IA jurídica responsável

A primeira preocupação da IA jurídica responsável é evitar que o sistema produza peças convincentes, mas sem lastro verificável — daí o trabalho da InteliLaw com fontes rastreáveis, legislação oficial e jurisprudência auditada. Há uma segunda preocupação, igualmente relevante: proteger o próprio fluxo de interação com a IA. Se documentos passam a ser processados por sistemas inteligentes, eles passam a integrar a superfície de risco. A segurança deixa de estar apenas no modelo, no banco ou na infraestrutura, e passa a estar também no conteúdo que entra.

O DEFlagra responde a esse cenário. No Direito, a confiança não pode depender só da fluência do texto — depende de método, fonte, controle e responsabilidade.

Teste o DEFlagra gratuitamente. Cole um texto ou envie um PDF/DOCX e faça a triagem antes de enviar o documento à sua IA. Testar o DEFlagra agora — intelilaw.ai/deflagra