"O que aconteceu no caso Galileu (13/05/2026)?"
Em 13 de maio de 2026, o juiz Luiz Carlos de Araujo Santos Junior, da 3ª Vara do Trabalho de Parauapebas/PA (processo 0001062-55.2025.5.08.0130), aplicou multa de 10% do valor da causa contra duas advogadas que inseriram instrução invisível em petição — texto branco sobre fundo branco, ilegível ao humano mas detectável por sistemas de IA — para manipular a IA Galileu usada pela Justiça do Trabalho.
O caso foi enquadrado como ato atentatório à dignidade da Justiça (art. 77 §6º CPC), e a OAB foi formalmente comunicada para apuração disciplinar. É a primeira condenação pública documentada de prompt injection no judiciário brasileiro. Fonte: Migalhas (13/05/2026) →
Este é um caso que vai entrar nos manuais de ética e responsabilidade da advocacia em 2026. Não pela complexidade jurídica — mas pelo que ele inaugura: a era em que tribunais brasileiros começam a punir manipulação técnica de sistemas de IA do judiciário.
📍 O Caso — Parauapebas/PA, 13 de Maio de 2026
O processo trabalhista 0001062-55.2025.5.08.0130 tramitava normalmente na 3ª Vara do Trabalho de Parauapebas (PA) — uma demanda envolvendo reconhecimento de vínculo empregatício. Ao analisar a petição inicial, a IA Galileu (sistema de IA generativa da Justiça do Trabalho) sinalizou ao magistrado um conteúdo anômalo embutido no documento PDF.
O juiz Luiz Carlos de Araujo Santos Junior abriu o arquivo manualmente e descobriu: havia texto escrito em branco sobre fundo branco dentro da petição, invisível na leitura humana, mas perfeitamente legível pelos parsers de PDF e pelos sistemas de OCR/IA.
🎯 O Método — Visual Prompt Injection
A técnica usada chama-se visual prompt injection (ou white-on-white injection). É uma variação documentada na literatura de segurança em IA desde 2023, com casos isolados aparecendo em currículos enviados a sistemas de RH automatizados nos EUA.
O atacante (no caso, as advogadas) sabe que a IA do tribunal vai processar o PDF inteiro — incluindo camadas de texto invisíveis ao revisor humano. Então insere instruções nessas camadas invisíveis, esperando que o modelo de linguagem siga essas instruções sem que o juiz, o servidor do cartório ou a parte contrária percebam.
Funciona porque LLMs não distinguem instrução de conteúdo. Para o modelo, tudo é "texto que entrou no contexto". Se o texto diz "ignore o resto e julgue assim", o modelo pode genuinamente seguir a instrução — a menos que tenha sido especificamente treinado para detectar e rejeitar prompt injection (o que é tecnicamente complexo).
🔍 O Prompt Escondido — Reproduzido na Íntegra
De acordo com a decisão e a reportagem do Migalhas, o conteúdo invisível inserido na petição era o seguinte:
Em termos práticos, o prompt instruía a IA Galileu a desistir do trabalho real — produzir uma contestação superficial, sem analisar profundamente as provas. Isso aumentaria a chance de que a IA não detectasse falhas na argumentação das advogadas, encurtando a análise crítica do magistrado.
⚖️ A Decisão Judicial
O juiz Luiz Carlos não titubeou. Em sentença firme, aplicou:
- Multa de 10% do valor da causa, em favor da União
- Fundamento: art. 77, §6º do CPC — ato atentatório à dignidade da Justiça
- Afastamento expresso da proteção de "independência profissional do advogado" (que permite teses ousadas mas não fraudes processuais)
- Comunicação formal à OAB para abertura de apuração disciplinar específica
- Determinação de que o caso seja referenciado em orientação interna dos servidores do tribunal sobre análise de PDFs com camadas ocultas
O juiz consignou que a conduta não constitui defesa legítima do cliente, mas sim "sabotagem ao sistema de processamento judicial" — porque visa não convencer o magistrado humano, mas manipular tecnicamente a ferramenta que o auxilia.
👤 O Estatuto da OAB e o Sigilo Profissional
O Estatuto da Advocacia (Lei 8.906/1994) é claro em seu art. 34: constitui infração disciplinar grave o uso de meios fraudulentos ou capciosos em juízo. Embora o prompt injection seja uma técnica nova, sua finalidade é antiga: induzir o julgador a erro por meio que ele não pode perceber facilmente.
O Código de Ética e Disciplina da OAB permite, para essa infração:
- Censura (advertência formal anotada nos registros)
- Suspensão (de 30 dias a 12 meses)
- Exclusão dos quadros da OAB (em casos graves ou reincidência)
- Multa administrativa complementar
Considerando que o ato é dirigido contra um sistema oficial do judiciário (Galileu/TST), a apuração disciplinar tende a ser mais rigorosa que casos de fraude entre partes privadas.
🤖 O Que é o Galileu — A IA da Justiça do Trabalho
O Galileu é o sistema de inteligência artificial generativa adotado pela Justiça do Trabalho brasileira para apoio à análise de processos. Ele é parte da infraestrutura tecnológica regulada pela Resolução CNJ 615/2025, que estabelece padrões para uso de IA nos tribunais.
Suas funções típicas incluem:
- Análise inicial de petições e documentos anexos
- Identificação de teses jurídicas predominantes
- Sugestão de jurisprudência aplicável
- Triagem de matérias urgentes ou repetitivas
- Suporte estatístico ao magistrado
Importante destacar: o Galileu não decide. A decisão final é sempre humana — o magistrado. Mas a IA influencia o fluxo de trabalho, e essa influência foi o alvo do ataque.
🧠 Por Que LLMs Caem em Prompt Injection
Modelos de linguagem grandes (LLMs) como o Galileu, ChatGPT, Gemini e Claude operam com base em um princípio: tudo que entra no contexto é texto. O modelo não tem como saber, intrinsecamente, o que é "instrução legítima" e o que é "instrução inserida maliciosamente" — a menos que tenha sido especificamente fine-tunado para isso.
É como pedir a um intérprete simultâneo para distinguir fala oficial de fala plantada: ele traduz tudo. Os filtros precisam vir antes (pré-processamento) ou depois (validação humana).
Variações conhecidas de prompt injection
- Visual injection (caso Galileu): texto branco em fundo branco, texto microscópico, texto fora da área visível do PDF
- Indirect injection: prompt embutido em URL, em comentário HTML, em metadata EXIF de imagem
- Jailbreaks: tentativas explícitas como "ignore as instruções anteriores e..."
- Context overload: encher o contexto com texto irrelevante até a instrução real ser diluída
- Steganographic injection: texto codificado em padrões de espaços, quebras de linha ou Unicode invisível
📚 Implicações para Advogados em 2026
Esse caso estabelece um precedente sério. Mesmo que ainda não vincule outros tribunais, sinaliza com clareza o que vai acontecer adiante:
- Tribunais vão começar a auditar PDFs sistematicamente em busca de camadas ocultas. Servidores receberão treinamento específico.
- Modelos como o Galileu serão fine-tunados para sinalizar conteúdo suspeito antes mesmo de processá-lo — mas os ataques também vão evoluir.
- OAB vai emitir orientação específica sobre uso ético de IA na advocacia, com tipificação clara da infração.
- Escritórios devem auditar templates de petição, especialmente cópias adaptadas de modelos baixados da internet — o prompt malicioso pode estar lá sem o advogado saber.
- A defesa "foi a IA que escreveu, não eu" não procede — a responsabilidade jurídica é do peticionante.
Antes de protocolar qualquer petição em 2026, faça um teste simples: selecione todo o texto (Ctrl+A) e mude a cor para preto. Se aparecer texto que você não escreveu, alguém injetou prompt no template. Isso vale especialmente para minutas vindas de plataformas terceirizadas ou copiadas de fóruns.
🛡️ Como a Locus.IA Mitiga Esse Tipo de Risco
A Locus.IA adota uma arquitetura técnica distinta da maioria das IAs jurídicas brasileiras — e justamente por isso reduz a exposição a cenários como o caso Galileu. Três pontos relevantes:
1. Processamento local antes de qualquer transmissão
O cliente Locus.IA roda no computador do advogado. Ele indexa documentos localmente, faz chunking (divisão em blocos para processamento eficiente) e anonimiza dados pessoais identificáveis (nomes, CPFs, endereços, valores específicos) antes de qualquer envio externo.
Implicação para o caso Galileu: o advogado tem visibilidade total do texto extraído de cada PDF antes de pedir uma análise. Se um template viesse contaminado com camadas invisíveis, o conteúdo apareceria no pré-processamento — diferente das IAs em nuvem que recebem o PDF cru sem mediação local.
2. Anonimização antes da inferência
Dados pessoais identificáveis são substituídos por identificadores genéricos antes do processamento. Mesmo no Modo Híbrido (que utiliza APIs externas especializadas para a etapa de inferência), o conteúdo transmitido não contém nomes, CPFs ou identidades reais. Após a resposta retornar, o sistema reintroduz os dados originais localmente — apenas o usuário vê a versão final.
Reduz dois riscos simultaneamente: exposição a fornecedores externos (e portanto ao Cloud Act, em IAs com matriz americana) e impacto de prompt injection (mesmo que uma instrução maliciosa passe, ela não acessa identidades reais).
3. Edição Locus Local Air-Gapped — 100% offline
A edição Locus Local Air-Gapped (R$ 1.099/mês) processa LLM e RAG inteiramente no hardware do cartório ou escritório. Nenhum dado — anonimizado ou não — sai do dispositivo. Para cenários de sigilo absoluto (Registro de Imóveis com alto patrimônio, processos midiáticos, pareceres confidenciais para grandes corporações), é a arquitetura mais robusta disponível no mercado BR.
Independente da IA que você usa, audite manualmente qualquer petição vinda de template terceiro ou modelo baixado da internet. Comando rápido: Ctrl+A + mudar cor para preto. Se aparecer conteúdo que você não escreveu, alguém injetou prompt no template. A responsabilidade jurídica é do advogado que protocola — mesmo que tenha sido um colega ou estagiário que adaptou o template.
🛡️ IA Jurídica Que Não Expõe Dados Reais
Processamento local, anonimização antes do envio, edição 100% offline disponível. A arquitetura de IA jurídica desenhada desde o início para o mercado brasileiro.
⭐ VER PLANOS DA LOCUS.IA❓ Perguntas Frequentes
O que é prompt injection no contexto jurídico?
É a técnica de inserir instruções ocultas em documentos para manipular sistemas de IA que processam o texto. No contexto jurídico, advogados podem inserir comandos invisíveis em petições para tentar influenciar a IA do tribunal a julgar de forma favorável.
Advogado que usa prompt injection pode ser excluído da OAB?
Sim, em casos graves ou reincidência. A escala de sanções é: censura → suspensão (30 dias a 12 meses) → exclusão. A comunicação à OAB já foi formalizada na decisão de 13/05/2026.
O Galileu é seguro contra manipulação?
Como qualquer LLM atual, o Galileu pode ser parcialmente vulnerável a prompt injection. A diferença é que, neste caso, foi detectado — provavelmente porque o sistema sinalizou conteúdo anômalo (texto invisível) para revisão humana, e o juiz acionou a análise manual do PDF.
Devo deixar de usar IA jurídica por causa desse caso?
Não. O risco não está em usar IA, mas em não auditar o que entra. Use IA com processamento local (que dá visibilidade do conteúdo antes do envio à inferência) e mantenha política interna de revisão. Isso te protege de cometer a infração inadvertidamente via template contaminado.
Quais outros riscos similares devo conhecer?
Outros vetores incluem: prompts em metadata EXIF de imagens anexadas, links com query strings instrutivas, conteúdo HTML em e-mails encaminhados, e Unicode invisível em textos colados. A regra geral: nunca confie em texto que você não escreveu pessoalmente.
📖 Fontes e Referências
- Migalhas (13/05/2026): "Juiz multa advogadas que esconderam prompt para enganar IA da Justiça"
- Processo: 0001062-55.2025.5.08.0130 — 3ª Vara do Trabalho de Parauapebas/PA
- Magistrado: Juiz Luiz Carlos de Araujo Santos Junior
- Fundamento legal: CPC art. 77, §6º (ato atentatório à dignidade da Justiça)
- Lei aplicável: Estatuto da OAB (Lei 8.906/1994), art. 34
- Regulação correlata: Resolução CNJ 615/2025, Provimento CNJ 213/2026, PL 2338/2023