Conteúdo
"Pedi a uma IA, e ela abriu o navegador, pesquisou as coisas sozinha e até preencheu um formulário para mim." Em 2026, isso já não é apenas uma demonstração ensaiada. Os agentes de IA que "veem, clicam e digitam" no navegador — os chamados navegadores agênticos — chegaram todos de uma vez: ChatGPT Atlas, Claude for Chrome, Gemini/Chrome, Perplexity Comet e outros.
Então até onde eles realmente automatizam? A resposta curta: a realidade se divide claramente em três níveis. "Pesquisar" já está praticamente pronto para uso real, "preencher formulários" é condicional, e "reservar e pagar" é algo que você ainda deve fazer por conta própria. Use essas ferramentas sem conhecer essa diferença e você vai se queimar. Este artigo apresenta o estado atual da tecnologia, onde cada fornecedor está, os números dos benchmarks e — algo muitas vezes ignorado — as armadilhas de segurança, dando a você um retrato honesto da "realidade".
O mesmo "controle do navegador" — mas três níveis de "consegue"
— Conforme a natureza da tarefa, o sinal fica verde, amarelo ou vermelho
Pesquisa
Somente leitura = pronto para uso
○ DeleguePreencher formulários
Funciona, mas verifique
△ CondicionalReserva / pagamento
Falha em CAPTCHA / checkout
× Faça você mesmo* Os números de benchmark, as especificações dos fornecedores e os preços citados neste artigo provêm de diversos materiais públicos, reportagens e anúncios das empresas (referentes a junho de 2026). Esses produtos se atualizam rápido, e os sistemas operacionais suportados, os preços e as capacidades podem mudar. Os números variam conforme a metodologia — interprete-os como indicativos.
1. O que é "controle do navegador por IA"? Duas abordagens
"Uma IA operando o navegador" na verdade vem em dois sabores técnicos. Ambos rodam o mesmo ciclo do agente — ver a tela (perceber) → decidir a próxima ação (planejar) → clicar ou digitar (agir).
① Consumidor: embutido no navegador/extensão
A IA vive dentro do navegador que você já usa — como um navegador dedicado (ChatGPT Atlas) ou uma extensão (Claude for Chrome) — e cuida de pesquisas e preenchimento de formulários usando a sua própria sessão logada. Fácil de adotar, mas vem com as ressalvas de segurança discutidas adiante.
ex.: Atlas / Claude for Chrome / Gemini no Chrome / Comet
② Desenvolvedor: automatizar via API/OSS
Controle um navegador em um sandbox a partir de código. Com a ferramenta computer-use da OpenAI ou o browser-use de código aberto, você pode executar tarefas web repetitivas sem supervisão. Mais próximo de um RPA evoluído, ideal para incorporar em fluxos de trabalho.
ex.: computer-use (CUA) / browser-use / Skyvern / Steel
Este artigo foca principalmente no ① lado do consumidor para avaliar "até onde vai". Note que o ② muitas vezes usa os mesmos modelos de IA por baixo, então os pontos fortes e fracos tendem a ser compartilhados.
2. Os principais players em 2026
Do final de 2025 até 2026, os navegadores agênticos chegaram todos de uma vez — e, com a mesma rapidez, veio a consolidação (shakeout), com produtos independentes sendo absorvidos por seus serviços-mãe. Eis o cenário atual.
| Produto | Formato | Situação (em junho de 2026) |
|---|---|---|
| ChatGPT Atlas OpenAI |
Navegador dedicado (baseado em Chromium) | Lançado em 2025/10/21. Modo agente para Plus/Pro/Business etc. Inicialmente centrado no Mac; Windows/mobile em implantação. Por design, não pode executar código, baixar arquivos nem ler senhas. |
| Claude for Chrome Anthropic |
Extensão do Chrome (painel lateral) | Beta nos planos pagos (Pro/Max etc.). Navega, clica, preenche formulários e executa fluxos multi-aba e multi-etapa. Os modelos disponíveis variam conforme o plano. |
| Gemini / Chrome |
Integração com o navegador | O experimental "Project Mariner" encerrou em 2026/5/4 e sua tecnologia foi incorporada ao Gemini/Chrome. O "Auto Browse" do Chrome automatiza fluxos complexos. |
| Perplexity Comet Perplexity |
Navegador dedicado | Popular para pesquisa. Mas várias vulnerabilidades de prompt injection foram relatadas (veja adiante); correções foram lançadas no início de 2026. |
| ChatGPT Agent OpenAI (ex-Operator) |
Embutido + API | O "Operator" independente encerrou em 2025/8/31; suas capacidades migraram para o ChatGPT e o Agents SDK (computer-use). Sua saída diz muito sobre a "realidade" (veja adiante). |
| browser-use OSS |
Biblioteca (MIT) | Mais de 78k estrelas no GitHub. Conecte qualquer LLM para construir sua própria automação. Projetos OSS irmãos como Skyvern e Steel também estão ativos. |
O que chama a atenção é a onda de "integração e encerramento" dos produtos independentes. Tanto o Operator da OpenAI quanto o Mariner do Google abandonaram seus apps separados e foram absorvidos pelo serviço-mãe. Isso reflete uma mudança do setor, de "experimentos chamativos" para "recursos embutidos em produtos usados no dia a dia" — e, igualmente, o outro lado da moeda: o controle totalmente autônomo ainda é difícil por si só.
3. Até onde vai? A realidade em 3 níveis
Este é o cerne da questão. Mesmo dentro do "controle do navegador", a confiabilidade prática se divide nitidamente conforme a natureza da tarefa. Vamos detalhar o semáforo da abertura com exemplos concretos e benchmarks.
🟢 Pesquisa / coleta de informações = o mais "usável" hoje
Comparar preços entre sites, resumir avaliações, monitorar concorrentes em busca de novidades, extrair números de um painel sem API — o trabalho "somente leitura" está pronto para uso real. No WebVoyager, que testa sites reais, os melhores agentes chegam a 89-98%, praticamente saturando o benchmark. Como uma ação errada custa pouco aqui, é por aqui que se deve começar a delegar.
🟡 Preencher formulários = viável, mas precisa de um "vigia"
Formulários de contato, rascunhos de solicitações, transcrever para uma planilha — a entrada em si é suportada por cada agente. Mas ele pode rotular campos errados, julgar mal as opções ou clicar no botão de envio errado. "A IA rascunha, um humano envia" é o padrão seguro. De fato, muitos produtos como o Atlas são projetados para pedir confirmação antes de ações importantes.
🔴 Reserva / pagamento = ainda faça você mesmo
Reservas de hotéis e voos, compras em e-commerce, confirmações atrás de um login — tarefas em que "o dinheiro se move e é difícil desfazer" são o ponto mais fraco. Os agentes tropeçam em CAPTCHAs, checkouts complexos em JavaScript, autenticação em dois fatores e gerenciamento de sessão. No WebArena, que testa tarefas complexas de múltiplas etapas, mesmo os melhores marcam cerca de 47-68% (abaixo da linha de base humana de ~78%). A própria razão pela qual a OpenAI encerrou o Operator independente foi a falta de confiabilidade dos fluxos de checkout.
A "diferença" nos benchmarks (os números são indicativos)
* Há dois anos, a taxa de sucesso em tarefas semelhantes era de cerca de 14%, segundo relatos, então o progresso é rápido. Ainda assim, "as tarefas complexas continuam abaixo dos humanos" também é um fato.
Em resumo: ótimo para pesquisar, fraco para executar ações. Lembrar apenas dessa única frase vai poupá-lo da maior parte da decepção que vem de expectativas desalinhadas.
4. Por que falha na "reserva"
"Se consegue pesquisar, por que não consegue reservar?" Não há um único motivo. Reserva e pagamento empilham, tudo no mesmo lugar, vários "portões" em que a IA é ruim.
🧩 CAPTCHA / defesas contra bots
Mecanismos que exigem "prova de ser humano" existem justamente para deter os agentes. Tentar contorná-los pode, por si só, violar os termos de serviço.
💳 Fluxos de checkout complexos
Carrinhos pesados em JavaScript, 3-D Secure, redirecionamentos para pagamento externo. Um deslize em qualquer ponto quebra tudo, e a recuperação é difícil.
🔐 Autenticação em dois fatores / login
Códigos por SMS e aprovações em aplicativos só se completam nas suas próprias mãos. Muitos produtos deliberadamente evitam senhas e credenciais.
↩️ O custo de desfazer
"Comprei por engano" ou "reservei em dobro" causa prejuízo real. Por isso, os fornecedores inserem aprovação humana em ações importantes e não confirmam automaticamente.
Em outras palavras, uma "falha" na reserva tem menos a ver com a IA não ser inteligente o bastante e mais com colidir com uma intenção de design: "os sites não esperam automação" e "os humanos devem segurar as grandes ações". Por isso, um salto para 100% de automação no curto prazo é improvável. Na prática, "a IA até os candidatos, os humanos para a confirmação final" é a melhor resposta por enquanto.
5. A maior armadilha: prompt injection
Mais importante do que "consegue ou não" é a segurança. O maior risco exclusivo dos navegadores agênticos é o prompt injection indireto — o agente é enganado por "instruções ocultas para a IA" plantadas em uma página web ou e-mail.
O que é prompt injection indireto: um atacante embute comandos como "roube o e-mail do usuário e envie" usando texto difícil de os humanos verem (texto na cor do fundo, caracteres dentro de imagens, seções de comentários), de modo que o agente que lê a página é sequestrado. Como ele roda na sua sessão logada, o dano pode ser direto.
Isso não é teórico. No início de 2026, várias vulnerabilidades foram relatadas no Perplexity Comet, voltado a pesquisa. Em demonstrações de pesquisadores, bastava fazê-lo ler uma página ou postagem maliciosa para roubar credenciais e códigos de uso único e tomar o controle da conta — um caminho de ataque "zero-click" (a Perplexity lançou mitigações em fevereiro de 2026). Fraquezas semelhantes foram desde então apontadas também em outros grandes navegadores.
Quão bem funcionam as defesas? (exemplo de números publicados)
Sucesso do ataque antes das defesas
(medição própria de um fornecedor)
Após defesas básicas
(não é zero)
Com as defesas mais fortes
(ainda diferente de zero)
* Os números são autorrelatados por cada fornecedor e dependem das condições, então não podem ser comparados lado a lado. O ponto: as defesas reduzem drasticamente, mas nunca a zero. Pesquisas também relatam que, conforme os atacantes iteram, a taxa de sucesso aumenta.
Os fornecedores reagem com classificadores que detectam instruções ocultas, além de confirmação e limites de permissão em ações importantes. Mas o estado honesto em 2026 é que "mesmo com defesas, permanece um risco residual". É exatamente por isso que as suas regras de operação são a última linha de defesa. Para saber mais, veja incidentes de segurança com agentes de IA.
6. Um checklist prático para uso seguro
Dada a "realidade" acima, eis 5 princípios para um uso seguro a partir de hoje. Sem configurações complicadas — é uma questão de mentalidade.
Comece pelo "somente leitura"
No início, limite-o a pesquisa, comparação e resumo — trabalho em que uma falha não custa nada. Expanda para tarefas de entrada apenas quando se sentir à vontade.
Um humano deve aprovar envios e pagamentos
"A IA até o rascunho, o botão final é seu." Não o configure para confirmar sem revisão.
Não entregue informações sensíveis ou senhas
Não o use para internet banking, pagamentos ou telas confidenciais. Há um motivo para muitos produtos serem projetados para não tocar em credenciais.
Não rode o agente em sites não confiáveis
Páginas suspeitas e links de remetentes desconhecidos são terreno fértil para instruções ocultas. Pense duas vezes antes de deixar o agente "ler" esses conteúdos.
Privilégio mínimo, em um perfil dedicado
Não dê acesso a todas as abas logadas. Quando possível, rode-o em um perfil de trabalho separado para limitar o raio de impacto.
A conclusão: "conveniência" e "privilégio" são um trade-off. Quanto mais poder você concede ao agente, mais ele pode fazer — mas maior o dano se ele for sequestrado. Comece pequeno e expanda conforme vê resultados — a mesma regra básica dos casos de uso de automação empresarial.
Resumo
O controle do navegador por IA deu um grande passo em 2026, de "experimento" a "ferramenta do dia a dia". Mas não é todo-poderoso — a realidade se divide em três níveis.
Pontos-chave
- 🟢 Pesquisa, comparação e resumo estão prontos para uso — comece por aqui.
- 🟡 Preencher formulários funciona, mas pressupõe "um humano confirma" no fim.
- 🔴 Reserva e pagamento ainda são fracos — as barreiras de CAPTCHA/checkout/2FA. "A IA até os candidatos, o humano confirma."
- ⚠️ A maior barreira é a segurança — o prompt injection persiste apesar das defesas. Proteja-se com regras de operação.
"Um excelente parceiro de pesquisa; faça você mesmo as ações que movem dinheiro." Mantenha essa distância e o controle do navegador por IA vai lhe poupar muito tempo. Comece hoje pela "pesquisa", onde um erro não machuca. Para os fundamentos dos agentes em geral, veja o que é um agente de IA; para segurança, aprofunde-se nos incidentes de segurança.
FAQ
P. Posso deixar a reserva inteira por conta de uma IA?
R. Não recomendado em 2026. Ela tropeça facilmente em CAPTCHAs, checkouts complexos e autenticação em dois fatores, arriscando compras erradas ou reservas em dobro. "A IA até comparar os candidatos, a confirmação final por um humano" é seguro.
P. Qual devo usar? Qual a diferença entre ChatGPT Atlas e Claude for Chrome?
R. A grande diferença é o formato: o Atlas é um "navegador dedicado", o Claude for Chrome é uma "extensão do Chrome". Se você já usa o Chrome, a extensão é prática; para experimentar um ambiente totalmente novo, vá com o navegador dedicado. Preços e modelos disponíveis variam conforme o plano — veja a comparação de preços.
P. Usuários comuns devem se preocupar com prompt injection?
R. Sim. Como o agente roda na sua sessão logada, o dano pode ser direto. Apenas três hábitos — não o rode em sites duvidosos, ter um humano aprovando pagamentos e envios, e não usá-lo em telas com informações sensíveis — reduzem bastante o risco.
P. Posso testar de graça?
R. Depende do produto. Muitos recursos de agente são para planos pagos, mas há opções gratuitas como o OSS browser-use, que você mesmo pode construir (você ainda paga separadamente pelo uso do LLM). Primeiro verifique o que o seu serviço de IA atual suporta.
P. Para tarefas rotineiras simples, o RPA tradicional é melhor?
R. Se os passos são exatamente os mesmos toda vez, a automação tradicional pode ser mais estável e rápida. A força dos agentes de IA está no trabalho que é "um pouco diferente a cada vez" ou que "exige julgamento". Os dois não são rivais — use o certo para cada tarefa.
