Fluxo de Aprovação de Administrador Seguro para Assistentes de Chat em Grupo Contra Injeção de Prompt

O post do r/ClaudeAI "Mitigando injeções de prompt em assistentes de chat em grupo: Pausando execução de VM e ferramentas OAuth para aprovação do administrador" descreve um padrão de segurança prático para assistentes baseados em LLM conectados a canais públicos ou compartilhados (ex.: WhatsApp via Supergreen ou chats em grupo). O problema central: quando vários usuários compartilham o mesmo histórico de sessão, qualquer participante pode injetar um prompt no assistente para acionar ferramentas perigosas — como provisionar recursos na nuvem, executar código com segredos mapeados ou obter tokens OAuth.

Fluxo de Aprovação Seguro do Administrador

A solução proposta no prompt2bot é um fluxo de Aprovação Segura do Administrador que intercepta execuções de ferramentas de alto risco:

• Quando um usuário não administrador aciona create_vm, run_safescript (execução de código personalizado com segredos mapeados) ou fluxos OAuth, a ferramenta pausa a execução e retorna: "solicitando permissão do administrador...".
• Um link de aprovação com TTL de 10 minutos é enviado automaticamente aos administradores configurados via WhatsApp ou e-mail.
• Após a aprovação, um job em segundo plano injeta uma notificação do sistema no histórico da conversa: [Notificação do sistema: O administrador aprovou sua solicitação para executar <toolName> (ID da Solicitação: <requestId>)].
• Essa injeção de pensamento reativa o loop do agente, que chama novamente a ferramenta com o request_id aprovado para continuar perfeitamente.
• Para usuários convidados (proprietários do bot sem e-mail/telefone configurados), as aprovações são ignoradas para testes de desenvolvimento sem atritos.

Para Quem é Isso

Desenvolvedores que criam assistentes altamente capazes que operam em canais compartilhados e precisam proteger o acesso a ferramentas poderosas contra ataques de injeção de prompt de participantes não confiáveis.