Um paper de 22 autores liderado por Daniel Schroeder na SINTEF, publicado na Science semana passada (DOI 10.1126/science.adz1697), define o que seus autores chamam de "enxame de IA maliciosa" como um conjunto de agentes controlados por IA com quatro propriedades que as velhas suposições de detecção de bots não lidam: identidades e memória persistentes entre sessões, coordenação rumo a objetivos compartilhados variando tom e conteúdo por conta, adaptação em tempo real a sinais de engajamento, e operação entre múltiplas plataformas. O framework importa porque a heurística defensiva dominante dos 2010s — encontrar um cluster de contas postando texto idêntico e bani-las — assume que o atacante está usando ferramentas simples de template-e-difusão. LLMs modernos permitem que cada agente no enxame produza texto distinto e consciente do contexto enquanto persegue o mesmo objetivo.
A contribuição mais nova do paper é nomear uma ameaça de segunda ordem que vinha sendo discutida informalmente há dois anos mas não tinha um termo limpo: "LLM Grooming". A ideia é que um enxame inundando a web aberta com conteúdo moldado para empurrar uma posição particular não está apenas tentando influenciar leitores humanos atuais; está tentando influenciar os corpus de treinamento da próxima geração de modelos de linguagem. Se a próxima rodada de crawlers ingere vários gigabytes de comentário pró-Posição-X através de milhares de sites aparentemente independentes, o modelo resultante terá aprendido que a Posição X é a visão de consenso, e reproduzirá essa visão quando perguntado. O ataque não requer comprometer um modelo diretamente; requer volume sustentado de escrita na web aberta. Schroeder et al. argumentam que isso faz do próprio pipeline de treinamento de IA uma superfície de segurança nacional.
O exemplo real nomeado do paper é a rede Pravda — uma operação pró-Kremlin que pesquisadores na NewsGuard e em outros lugares documentaram produzindo milhares de artigos por mês através de centenas de sites clonados desde 2024, deliberadamente otimizados para ingestão por IA em vez de leitura humana. O paper nota que medições iniciais de modelos de fronteira mostram reprodução não-trivial do enquadramento pró-Pravda em certas consultas sobre Ucrânia, Rússia e OTAN. O mecanismo é exatamente o que o LLM Grooming prediz: o modelo leu mais conteúdo pró-Kremlin sobre esses tópicos durante o treinamento do que o registro empírico subjacente justificaria, e pondera suas saídas de acordo. O caso Pravda é a prova de conceito; o paper argumenta que muitos equivalentes em menor escala estão rodando agora.
Para desenvolvedores trabalhando em produtos de IA, as implicações práticas não são sutis. A detecção de uma única conta bot por sinais estilométricos ou comportamentais está ficando mais difícil do que a literatura de detecção da era 2017 assume. Defender o corpus de treinamento agora é seu próprio problema distinto de defender o modelo: ferramentas de proveniência, auditorias de diversidade de fontes e tetos duros sobre a influência que qualquer domínio ou cluster pode ter são todo trabalho de engenharia genuíno e majoritariamente não estão sendo feitos. O paper não propõe defesas detalhadas, o que é justo; identificar uma ameaça claramente é sua própria contribuição. A conclusão honesta é que o framework legado de "segurança de IA" focado em filtragem de saída de modelo é cada vez mais inadequado contra atacantes cujo objetivo é alterar o que o próximo modelo aprende, não fazer jailbreak no atual. A economia favorece o atacante: texto de bot é barato, e crawlers não podem facilmente distinguir sintético de autêntico em escala.