Ferramentas de defesa contra injeção de prompts

Um artigo recente da Softonic destacou um momento de fogo amigo para segurança de IA: uma equipe de pesquisa mostrou que agentes autônomos apresentados como defensores podem eles mesmos ser enganados para lançar ataques. A superfície de ataque é a injeção de prompts, e o alvo é qualquer sistema que deixe a saída do modelo tomar decisões sobre ferramentas, arquivos ou a rede. Os melhores apps para defesa contra injeção de prompts em desktop tratam essa superfície como primeira classe: eles nos permitem fazer red team de nossos próprios prompts, filtrar entradas não confiáveis antes de chegarem a um modelo e proteger chamadas de ferramenta no momento em que deixam o agente.

Testamos sete apps e bibliotecas em Windows, macOS e Linux para defesa contra injeção de prompts em 2026. Alguns são suites de teste (red team nossos prompts contra payloads de injeção conhecidos), alguns são guardrails em runtime (filtram entradas e saídas no momento da requisição), alguns são motores de política (permitem ou negam chamadas de ferramentas). Escolha de acordo com onde na pipeline de LLM a defesa precisa estar.

O que procurar em um app de defesa contra injeção de prompts

A defesa contra injeção de prompts é mais estratificada que um filtro de spam. Os apps que fazem bem isso compartilham algumas propriedades:

Comparação rápida

AppMelhor paraPlataformasPlano gratuitoPreço inicial/mêsAvaliação
PromptfooAvaliação de prompt e red teaming CLIWindows, macOS, LinuxTotalmente gratuito, código abertoSuporte enterpriseGitHub top-tier
GarakScanner de vulnerabilidades de LLM da NVIDIAWindows, macOS, LinuxTotalmente gratuito, código abertoGratuitoApoiado pela NVIDIA
RebuffDetector de injeção de prompts em múltiplas camadasWindows, macOS, LinuxTotalmente gratuito, código abertoGratuitoComunidade
Lakera GuardGuardrail gerenciado com classificador de injeção de promptsAPI + SDKsCamada gratuitaAssinatura anual modesta4.7 / 5
NeMo GuardrailsDSL de guardrails programável da NVIDIAWindows, macOS, LinuxTotalmente gratuito, código abertoGratuitoApoiado pela NVIDIA
PyRITFerramenta de identificação de risco Python da MicrosoftWindows, macOS, LinuxTotalmente gratuito, código abertoGratuitoApoiado pela Microsoft
LLM GuardScanner de entrada e saída de código abertoWindows, macOS, LinuxTotalmente gratuito, código abertoSuporte enterpriseProjeto Protect AI

O endpoint de Moderação da OpenAI está incluído no guia de escolha como referência para equipes já na stack da OpenAI.

Os apps

1. Promptfoo

Promptfoo é a escolha para uma equipe que trabalha com código e quer fazer red teaming de prompts como parte da CI. A CLI executa um prompt através de centenas de payloads adversariais, pontua as saídas contra asserções que escrevemos e relata qual categoria de ataque (jailbreak, injeção, vazamento de PII, exfiltração de dados) funcionou. As releases de 2026 adicionaram um preset do OWASP LLM Top 10 que transforma “executar cada payload conhecido ruim uma vez por noite” em um comando único.

Onde cai curto: é uma ferramenta de teste. Promptfoo não fica no caminho da requisição em runtime; ele nos diz em CI quais prompts quebram. Combine com um guardrail de runtime.

Preços:

Plataformas: Windows, macOS, Linux, Docker

Download: Promptfoo

Conclusão: o ponto de partida sensato para uma equipe que quer red teaming de prompts em CI.

2. Garak

Garak é o scanner de vulnerabilidades de LLM da NVIDIA, e seu escopo é mais amplo que o do Promptfoo. Ele executa uma taxonomia de sondas (goodside, dan, promptinject, encoding, malwaregen, xss) contra um modelo e relata quais sondas foram bem-sucedidas. Para qualquer um testando um modelo de código aberto auto-hospedado contra uma bateria de ataques conhecidos, é a ferramenta de referência em 2026.

Onde cai curto: as varreduras levam um tempo para executar. Algumas sondas são mais ruidosas que outras e precisam de ajuste para se adequar ao nosso modelo de ameaça.

Preços:

Plataformas: Windows, macOS, Linux

Download: Garak

Conclusão: a escolha para enrijecer um modelo auto-hospedado contra todas as categorias conhecidas de ataque.

3. Rebuff

Rebuff é um detector de injeção de prompts em múltiplas camadas: um filtro heurístico, uma busca em armazenamento vetorial contra payloads conhecidos como ruins, um classificador baseado em LLM e um detector de token canário que detecta quando um modelo foi instruído a vazar um segredo. O desempenho em runtime é rápido o suficiente para apps interativos, e cada camada é opcional para que possamos ajustar a tolerância de falsos positivos.

Onde cai curto: o armazenamento vetorial precisa ser preenchido com nossos próprios payloads conhecidos como ruins para ser útil; o conjunto fornecido cobre injeções comuns mas não ataques específicos de domínio. Algumas camadas dependem de uma chamada de LLM, o que adiciona latência.

Preços:

Plataformas: Python, TypeScript, executa em qualquer lugar que Node ou Python faça

Download: Rebuff

Conclusão: a escolha para filtragem de injeção de prompts em runtime com um design maduro em múltiplas camadas.

4. Lakera Guard

Lakera Guard é o guardrail gerenciado de uma equipe suíça que está em defesa contra injeção de prompts desde 2022. A API fica na frente da chamada de modelo, classifica entrada do usuário e saída de modelo para injeções, vazamentos de PII e violações de política, e retorna um veredicto em dezenas de milissegundos. O Playground em seu site nos permite testar payloads contra o classificador atual interativamente.

Onde cai curto: é uma API hospedada. Equipes regulamentadas precisam verificar o SKU de residência de dados. O preço é por requisição em vez de por assento.

Preços:

Plataformas: API + SDKs para Python, JavaScript e Ruby

Download: Lakera Guard

Conclusão: a escolha para um guardrail de API de produção sem manter nosso próprio classificador.

5. NeMo Guardrails

NeMo Guardrails é a DSL de guardrails programável da NVIDIA, e é a biblioteca de execução em runtime de código aberto mais flexível da lista. As regras são definidas em um script Colang que diz quais tópicos são permitidos, quais ferramentas são permitidas e qual é a resposta de fallback quando uma verificação falha. Como a DSL é programável, NeMo pode expressar políticas que um classificador não consegue — “o assistente só pode chamar a ferramenta SQL quando o usuário está autenticado” — de forma limpa.

Onde cai curto: Colang é uma DSL nova e a curva de aprendizado é real. Guardrails muito simples são mais fáceis de escrever com Rebuff ou Lakera.

Preços:

Plataformas: Python, executa em qualquer lugar que Python faça

Download: NeMo Guardrails

Conclusão: a escolha para equipes que precisam de expressão de política além do que um classificador consegue oferecer.

6. PyRIT

PyRIT é a Python Risk Identification Tool para LLMs da Microsoft, e é a coisa mais próxima de um toolkit de segurança ofensiva completo para sistemas de IA. Ele executa prompts adversariais, rastreia conversas em múltiplas rodadas e avalia a saída do modelo contra scorers personalizados. O público-alvo do framework é red teams e blue teams dentro de organizações maiores; as abstrações refletem isso.

Onde cai curto: o framework é mais pesado que um script de pen test simples. Pequenas equipes podem achar Promptfoo ou Garak mais fáceis de usar.

Preços:

Plataformas: Windows, macOS, Linux

Download: PyRIT

Conclusão: a escolha para um red team executando ataques estruturados em múltiplas rodadas contra sistemas apoiados por LLM.

7. LLM Guard

LLM Guard da Protect AI é um scanner de entrada e saída de código aberto focado em prevenção de perda de dados ao lado da defesa contra injeção de prompts. Ele fornece scanners para PII, segredos, injeção de prompts, viés e toxicidade, e os executa no momento da requisição tanto na entrada do usuário quanto na saída do modelo. Para equipes cuja principal preocupação é “o modelo acabou de citar uma chave de API de volta para o usuário”, LLM Guard é o especialista.

Onde cai curto: o modelo de scanner de entrada-saída adiciona latência em cada requisição. Ajustar quais scanners executam em qual ordem importa para o desempenho.

Preços:

Plataformas: Python, executa em qualquer lugar que Python faça

Download: LLM Guard

Conclusão: a escolha quando vazamento de PII e segredos é tanto uma preocupação quanto a injeção em si.

Como escolher o app correto de defesa contra injeção de prompts

A stack de 2026 mais forte para uma pequena equipe é Promptfoo em CI mais Rebuff ou Lakera Guard em runtime mais uma varredura de Garak agendada contra o modelo de produção. Essa combinação captura payloads conhecidos como ruins antes do deploy, filtra os desconhecidos no momento da requisição e faz varreduras novamente do modelo deployado em uma programação.

Perguntas frequentes

O que é injeção de prompts? Injeção de prompts é a classe de ataque onde uma entrada não confiável (uma mensagem do usuário, um documento, uma página raspada) contém instruções que redirecionam o modelo contra seu propósito pretendido. Injeção direta é quando o usuário digita o ataque. Injeção indireta é quando o modelo lê um ataque de um documento ou página que foi instruído a resumir. Ambos estão no OWASP LLM Top 10.

A injeção de prompts pode ser totalmente prevenida? Não. Injeção de prompts é um problema nativo de modelo de linguagem e não há nenhuma defesa perfeita conhecida. Defesas em camadas (red teaming em tempo de teste, classificadores em runtime, políticas de chamada de ferramenta, tokens canários, moderação de saída) reduzem o risco a um nível aceitável para uma implementação específica. Qualquer pessoa alegando prevenir toda injeção de prompts com uma ferramenta está simplificando demais.

Qual é a melhor defesa de código aberto contra injeção de prompts? Para filtragem em runtime, Rebuff e LLM Guard são as escolhas de código aberto mais completas. Para política programável, NeMo Guardrails. Para teste, Promptfoo e Garak.

O endpoint de Moderação da OpenAI detecta injeção de prompts? Parcialmente. O endpoint de Moderação é projetado para categorias de conteúdo (assédio, autolesão, violência) mais do que para injeção especificamente. Um classificador de injeção de prompts dedicado (Rebuff, Lakera Guard, LLM Guard) detecta ataques que Moderação perde.

Como adiciono defesa contra injeção de prompts a um agente LangGraph ou CrewAI? Envolva chamadas de ferramenta em uma etapa de guardrail que executa LLM Guard ou Rebuff na ação proposta do modelo, e pause via interrupção de LangGraph ou portão de aprovação de CrewAI quando o guardrail sinaliza a chamada. Promptfoo pode executar a mesma cadeia de guardrail em CI contra uma bateria de payloads adversariais.

Essas ferramentas são gratuitas para uso comercial? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT e LLM Guard são código aberto com licenças permissivas que permitem uso comercial. Lakera Guard é um serviço gerenciado pago com uma camada gratuita para pequenas cargas de trabalho.