O problema começa quando a IA toca dado real
SaaS com IA costuma nascer rápido: agente escreve código, tela chama modelo, usuário cola contexto e o produto promete automação. O ponto fraco aparece quando a IA passa a ter acesso a dados, ferramentas internas, arquivos, integrações ou ações de conta.
Prompt injection não é só alguém escrevendo uma frase maliciosa. É qualquer entrada que tenta fazer o modelo ignorar regra, expor dado, chamar ferramenta indevida ou transformar conteúdo não confiável em comando.
Onde revisar primeiro
- Chat com acesso a dados de cliente, CRM, tickets ou documentos.
- RAG que mistura documentos públicos, privados e upload de usuário.
- Agentes que chamam funções, webhooks, banco ou automações.
- Resumos que podem incluir segredo, chave, token, CPF, contrato ou valor de cobrança.
- Logs de prompt e resposta usados para debug, analytics ou treinamento.
O que o Promptbook ajuda a separar
O Promptbook não transforma IA em pentester. Ele força perguntas melhores: que dados entram, que ferramentas a IA pode chamar, que saída precisa ser filtrada e onde existe risco de autorização.
Se o sinal envolve dado de cliente, cobrança, arquivo privado ou ferramenta com efeito real, a revisão precisa sair do checklist e entrar em leitura humana.
O que validar manualmente
- A IA consegue acessar dado de outro cliente?
- Upload de usuário muda resposta para outro usuário?
- Uma instrução dentro de documento consegue mandar o agente ignorar regras?
- A função chamada pelo modelo revalida permissão no servidor?
- Logs e analytics guardam dados pessoais além do necessário?
IA em SaaS não falha só no texto. Ela falha quando texto ganha permissão, ferramenta e dado real sem controle suficiente.