Um artigo recente da Softonic destacou um momento de fogo amigo para segurança de IA: uma equipe de pesquisa mostrou que agentes autônomos apresentados como defensores podem eles mesmos ser enganados para lançar ataques. A superfície de ataque é a injeção de prompts, e o alvo é qualquer sistema que deixe a saída do modelo tomar decisões sobre ferramentas, arquivos ou a rede. Os melhores apps para defesa contra injeção de prompts em desktop tratam essa superfície como primeira classe: eles nos permitem fazer red team de nossos próprios prompts, filtrar entradas não confiáveis antes de chegarem a um modelo e proteger chamadas de ferramenta no momento em que deixam o agente.
Testamos sete apps e bibliotecas em Windows, macOS e Linux para defesa contra injeção de prompts em 2026. Alguns são suites de teste (red team nossos prompts contra payloads de injeção conhecidos), alguns são guardrails em runtime (filtram entradas e saídas no momento da requisição), alguns são motores de política (permitem ou negam chamadas de ferramentas). Escolha de acordo com onde na pipeline de LLM a defesa precisa estar.
O que procurar em um app de defesa contra injeção de prompts
A defesa contra injeção de prompts é mais estratificada que um filtro de spam. Os apps que fazem bem isso compartilham algumas propriedades:
- Cobertura de pelo menos o OWASP LLM Top 10, incluindo injeção direta e indireta de prompts, manipulação insegura de saída e envenenamento de dados de treinamento.
- Suporte tanto para teste (red teaming offline) quanto para execução em runtime (guardrails inline). Nenhum dos dois sozinho é suficiente.
- Agnóstico de modelo. Uma defesa que funciona apenas contra modelos da OpenAI não ajuda equipes executando Claude, Gemini ou modelos de código aberto.
- Capacidade de filtrar chamadas de ferramenta, não apenas texto. Um guardrail que perde “execute este comando shell” é inútil.
- Conjuntos de regras abertos e inspecionáveis. Um classificador fechado que não podemos auditar é uma caixa preta em uma cadeia que precisávamos tornar menos opaca.
- Rápido o suficiente para tráfego real. Um guardrail de 500ms em uma requisição de 300ms é impraticável para apps interativos.
Comparação rápida
| App | Melhor para | Plataformas | Plano gratuito | Preço inicial/mês | Avaliação |
|---|---|---|---|---|---|
| Promptfoo | Avaliação de prompt e red teaming CLI | Windows, macOS, Linux | Totalmente gratuito, código aberto | Suporte enterprise | GitHub top-tier |
| Garak | Scanner de vulnerabilidades de LLM da NVIDIA | Windows, macOS, Linux | Totalmente gratuito, código aberto | Gratuito | Apoiado pela NVIDIA |
| Rebuff | Detector de injeção de prompts em múltiplas camadas | Windows, macOS, Linux | Totalmente gratuito, código aberto | Gratuito | Comunidade |
| Lakera Guard | Guardrail gerenciado com classificador de injeção de prompts | API + SDKs | Camada gratuita | Assinatura anual modesta | 4.7 / 5 |
| NeMo Guardrails | DSL de guardrails programável da NVIDIA | Windows, macOS, Linux | Totalmente gratuito, código aberto | Gratuito | Apoiado pela NVIDIA |
| PyRIT | Ferramenta de identificação de risco Python da Microsoft | Windows, macOS, Linux | Totalmente gratuito, código aberto | Gratuito | Apoiado pela Microsoft |
| LLM Guard | Scanner de entrada e saída de código aberto | Windows, macOS, Linux | Totalmente gratuito, código aberto | Suporte enterprise | Projeto Protect AI |
O endpoint de Moderação da OpenAI está incluído no guia de escolha como referência para equipes já na stack da OpenAI.
Os apps
1. Promptfoo
Promptfoo é a escolha para uma equipe que trabalha com código e quer fazer red teaming de prompts como parte da CI. A CLI executa um prompt através de centenas de payloads adversariais, pontua as saídas contra asserções que escrevemos e relata qual categoria de ataque (jailbreak, injeção, vazamento de PII, exfiltração de dados) funcionou. As releases de 2026 adicionaram um preset do OWASP LLM Top 10 que transforma “executar cada payload conhecido ruim uma vez por noite” em um comando único.
Onde cai curto: é uma ferramenta de teste. Promptfoo não fica no caminho da requisição em runtime; ele nos diz em CI quais prompts quebram. Combine com um guardrail de runtime.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: camada de suporte enterprise
Plataformas: Windows, macOS, Linux, Docker
Download: Promptfoo
Conclusão: o ponto de partida sensato para uma equipe que quer red teaming de prompts em CI.
2. Garak
Garak é o scanner de vulnerabilidades de LLM da NVIDIA, e seu escopo é mais amplo que o do Promptfoo. Ele executa uma taxonomia de sondas (goodside, dan, promptinject, encoding, malwaregen, xss) contra um modelo e relata quais sondas foram bem-sucedidas. Para qualquer um testando um modelo de código aberto auto-hospedado contra uma bateria de ataques conhecidos, é a ferramenta de referência em 2026.
Onde cai curto: as varreduras levam um tempo para executar. Algumas sondas são mais ruidosas que outras e precisam de ajuste para se adequar ao nosso modelo de ameaça.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: sem camada paga
Plataformas: Windows, macOS, Linux
Download: Garak
Conclusão: a escolha para enrijecer um modelo auto-hospedado contra todas as categorias conhecidas de ataque.
3. Rebuff
Rebuff é um detector de injeção de prompts em múltiplas camadas: um filtro heurístico, uma busca em armazenamento vetorial contra payloads conhecidos como ruins, um classificador baseado em LLM e um detector de token canário que detecta quando um modelo foi instruído a vazar um segredo. O desempenho em runtime é rápido o suficiente para apps interativos, e cada camada é opcional para que possamos ajustar a tolerância de falsos positivos.
Onde cai curto: o armazenamento vetorial precisa ser preenchido com nossos próprios payloads conhecidos como ruins para ser útil; o conjunto fornecido cobre injeções comuns mas não ataques específicos de domínio. Algumas camadas dependem de uma chamada de LLM, o que adiciona latência.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: sem camada paga
Plataformas: Python, TypeScript, executa em qualquer lugar que Node ou Python faça
Download: Rebuff
Conclusão: a escolha para filtragem de injeção de prompts em runtime com um design maduro em múltiplas camadas.
4. Lakera Guard
Lakera Guard é o guardrail gerenciado de uma equipe suíça que está em defesa contra injeção de prompts desde 2022. A API fica na frente da chamada de modelo, classifica entrada do usuário e saída de modelo para injeções, vazamentos de PII e violações de política, e retorna um veredicto em dezenas de milissegundos. O Playground em seu site nos permite testar payloads contra o classificador atual interativamente.
Onde cai curto: é uma API hospedada. Equipes regulamentadas precisam verificar o SKU de residência de dados. O preço é por requisição em vez de por assento.
Preços:
- Gratuito: camada gratuita para pequenas cargas de trabalho
- Pago: assinatura anual modesta para tráfego de produção
Plataformas: API + SDKs para Python, JavaScript e Ruby
Download: Lakera Guard
Conclusão: a escolha para um guardrail de API de produção sem manter nosso próprio classificador.
5. NeMo Guardrails
NeMo Guardrails é a DSL de guardrails programável da NVIDIA, e é a biblioteca de execução em runtime de código aberto mais flexível da lista. As regras são definidas em um script Colang que diz quais tópicos são permitidos, quais ferramentas são permitidas e qual é a resposta de fallback quando uma verificação falha. Como a DSL é programável, NeMo pode expressar políticas que um classificador não consegue — “o assistente só pode chamar a ferramenta SQL quando o usuário está autenticado” — de forma limpa.
Onde cai curto: Colang é uma DSL nova e a curva de aprendizado é real. Guardrails muito simples são mais fáceis de escrever com Rebuff ou Lakera.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: NVIDIA AI Enterprise adiciona suporte pago
Plataformas: Python, executa em qualquer lugar que Python faça
Download: NeMo Guardrails
Conclusão: a escolha para equipes que precisam de expressão de política além do que um classificador consegue oferecer.
6. PyRIT
PyRIT é a Python Risk Identification Tool para LLMs da Microsoft, e é a coisa mais próxima de um toolkit de segurança ofensiva completo para sistemas de IA. Ele executa prompts adversariais, rastreia conversas em múltiplas rodadas e avalia a saída do modelo contra scorers personalizados. O público-alvo do framework é red teams e blue teams dentro de organizações maiores; as abstrações refletem isso.
Onde cai curto: o framework é mais pesado que um script de pen test simples. Pequenas equipes podem achar Promptfoo ou Garak mais fáceis de usar.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: sem camada paga
Plataformas: Windows, macOS, Linux
Download: PyRIT
Conclusão: a escolha para um red team executando ataques estruturados em múltiplas rodadas contra sistemas apoiados por LLM.
7. LLM Guard
LLM Guard da Protect AI é um scanner de entrada e saída de código aberto focado em prevenção de perda de dados ao lado da defesa contra injeção de prompts. Ele fornece scanners para PII, segredos, injeção de prompts, viés e toxicidade, e os executa no momento da requisição tanto na entrada do usuário quanto na saída do modelo. Para equipes cuja principal preocupação é “o modelo acabou de citar uma chave de API de volta para o usuário”, LLM Guard é o especialista.
Onde cai curto: o modelo de scanner de entrada-saída adiciona latência em cada requisição. Ajustar quais scanners executam em qual ordem importa para o desempenho.
Preços:
- Gratuito: totalmente gratuito, código aberto
- Pago: camada de suporte enterprise
Plataformas: Python, executa em qualquer lugar que Python faça
Download: LLM Guard
Conclusão: a escolha quando vazamento de PII e segredos é tanto uma preocupação quanto a injeção em si.
Como escolher o app correto de defesa contra injeção de prompts
- Se queremos red teaming de prompts em tempo de CI: Promptfoo.
- Se estamos enrijecendo um modelo de código aberto auto-hospedado: Garak.
- Se queremos filtragem em runtime com um design em múltiplas camadas: Rebuff.
- Se queremos um guardrail de API hospedado: Lakera Guard.
- Se nossa política é mais complexa do que um classificador consegue expressar: NeMo Guardrails.
- Se executamos um red team estruturado: PyRIT.
- Se vazamento de PII e segredos é o risco principal: LLM Guard.
- Se já estamos na stack da OpenAI: o endpoint de Moderação da OpenAI é a linha de base; combine com pelo menos um dos acima para cobertura específica de injeção.
A stack de 2026 mais forte para uma pequena equipe é Promptfoo em CI mais Rebuff ou Lakera Guard em runtime mais uma varredura de Garak agendada contra o modelo de produção. Essa combinação captura payloads conhecidos como ruins antes do deploy, filtra os desconhecidos no momento da requisição e faz varreduras novamente do modelo deployado em uma programação.
Perguntas frequentes
O que é injeção de prompts? Injeção de prompts é a classe de ataque onde uma entrada não confiável (uma mensagem do usuário, um documento, uma página raspada) contém instruções que redirecionam o modelo contra seu propósito pretendido. Injeção direta é quando o usuário digita o ataque. Injeção indireta é quando o modelo lê um ataque de um documento ou página que foi instruído a resumir. Ambos estão no OWASP LLM Top 10.
A injeção de prompts pode ser totalmente prevenida? Não. Injeção de prompts é um problema nativo de modelo de linguagem e não há nenhuma defesa perfeita conhecida. Defesas em camadas (red teaming em tempo de teste, classificadores em runtime, políticas de chamada de ferramenta, tokens canários, moderação de saída) reduzem o risco a um nível aceitável para uma implementação específica. Qualquer pessoa alegando prevenir toda injeção de prompts com uma ferramenta está simplificando demais.
Qual é a melhor defesa de código aberto contra injeção de prompts? Para filtragem em runtime, Rebuff e LLM Guard são as escolhas de código aberto mais completas. Para política programável, NeMo Guardrails. Para teste, Promptfoo e Garak.
O endpoint de Moderação da OpenAI detecta injeção de prompts? Parcialmente. O endpoint de Moderação é projetado para categorias de conteúdo (assédio, autolesão, violência) mais do que para injeção especificamente. Um classificador de injeção de prompts dedicado (Rebuff, Lakera Guard, LLM Guard) detecta ataques que Moderação perde.
Como adiciono defesa contra injeção de prompts a um agente LangGraph ou CrewAI? Envolva chamadas de ferramenta em uma etapa de guardrail que executa LLM Guard ou Rebuff na ação proposta do modelo, e pause via interrupção de LangGraph ou portão de aprovação de CrewAI quando o guardrail sinaliza a chamada. Promptfoo pode executar a mesma cadeia de guardrail em CI contra uma bateria de payloads adversariais.
Essas ferramentas são gratuitas para uso comercial? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT e LLM Guard são código aberto com licenças permissivas que permitem uso comercial. Lakera Guard é um serviço gerenciado pago com uma camada gratuita para pequenas cargas de trabalho.