Blog Attacks

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

Jun 10, 2026 • 8 min read

Mike Kutlu Author

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

O OpenAI Operator é um agente de IA autónomo que navega na web, preenche formulários e conclui tarefas em nome dos utilizadores. Ao contrário do GPTBot, que rasteia páginas para treinar modelos, o Operator é um agente de transação em direto: carrega o seu site num browser real, interage com a sua interface e pode iniciar compras. Isso significa que os métodos de deteção tradicionais criados para bots e scrapers muitas vezes não o detetam de forma alguma.

Se pretende bloqueá-lo, monitorizá-lo ou encaminhá-lo através de um fluxo controlado depende do seu negócio. O que importa é ter a visibilidade para tomar essa decisão em primeiro lugar.

O Que É o OpenAI Operator?

Resposta rápida: O OpenAI Operator é um agente de IA lançado pela OpenAI em janeiro de 2025 que utiliza um browser real para concluir tarefas de forma autónoma: reservar viagens, fazer compras, preencher formulários e gerir contas. Funciona num browser baseado em Chromium e aparece no seu site como uma sessão com aparência autenticada.

O Operator é diferente dos crawlers da OpenAI (GPTBot, OAI-SearchBot). Essas ferramentas indexam conteúdo. O Operator realiza transações. Pode adicionar artigos a um carrinho, introduzir dados de pagamento e concluir um checkout em nome de um utilizador que emitiu uma instrução em linguagem natural. Utiliza um motor de browser real em vez de pedidos HTTP sem interface, o que significa que executa o seu JavaScript, aciona os seus eventos de análise e deixa uma pegada comportamental semelhante à de um visitante humano.

O agente identifica-se através de uma string user-agent OAI-SearchBot em alguns contextos, mas em modo de navegação ativo pode apresentar um user-agent Chrome padrão. A OpenAI publica os seus intervalos de IP e o Operator foi concebido para respeitar o robots.txt. Se o faz de forma consistente é uma questão separada.

Por Que Pode Querer Bloqueá-lo (e Por Que Não)

Resposta rápida: Bloquear o OpenAI Operator sem contexto é um risco comercial. Pode transportar a intenção de compra real de um utilizador. A abordagem mais inteligente é classificar a sessão, compreender a sua intenção e aplicar uma resposta gradual em vez de um bloqueio binário.

Existem razões legítimas para restringir o Operator. Se o seu site contém preços proprietários, dados de catálogo sensíveis à concorrência ou conteúdo que não quer ver raspado nos sistemas da OpenAI, limitar o acesso do Operator faz sentido. Se está a ver submissões automatizadas de formulários, casos extremos de abandono de carrinho ou padrões de checkout incomuns que não consegue atribuir a humanos, a atividade do Operator merece investigação.

Mas bloqueá-lo indiscriminadamente acarreta riscos. Até 2030, a Gartner prevê que 80% das pesquisas de produtos serão feitas através de IA agêntica, com 20% das compras online concluídas por agentes. A McKinsey estima o mercado de comércio agêntico em 3–5 biliões de dólares. Os Operators que atuam em nome de compradores reais com intenção de compra genuína são um novo canal de aquisição, não apenas um vetor de ameaça.

A questão não é "bloquear ou permitir", é: classificar e encaminhar.

O Que o robots.txt Pode e Não Pode Fazer

Resposta rápida: O robots.txt é uma declaração, não um controlo. O OpenAI Operator foi concebido para o respeitar no rastreio. Em modo de transação ativo, a sua conformidade é inconsistente. Mesmo a conformidade total com o robots.txt não lhe diz nada sobre o que o agente está a fazer enquanto se encontra nas suas páginas permitidas.

Adicionar o seguinte ao seu robots.txt indica às versões conformes do Operator que se mantenham afastadas de caminhos específicos:

User-agent: OAI-SearchBot
Disallow: /checkout
Disallow: /account
Disallow: /admin

As limitações são estruturais. O robots.txt apenas controla strings de user-agent declaradas. Uma sessão do Operator em modo de navegação ativo pode apresentar um user-agent Chrome padrão, tornando a regra do robots.txt irrelevante. Não existe nenhum mecanismo no robots.txt para dizer "apenas permitir humanos": o ficheiro não consegue inspecionar comportamento, apenas encaminhar com base em declarações de identidade que o agente controla.

Também não tem visibilidade sobre o que o Operator fez antes de chegar aos seus caminhos proibidos pelo robots.txt. Se raspou os dados do seu catálogo nas páginas de produtos permitidas primeiro, nunca o verá.

Deteção na Camada de Rede: Onde Falha

Resposta rápida: As ferramentas de camada de rede inspecionam endereços IP e cabeçalhos HTTP antes do carregamento da página. A OpenAI publica intervalos de IP conhecidos que as ferramentas de rede podem bloquear. Mas o Operator a funcionar através de infraestrutura de browser real, encaminhamento proxy ou IPs residenciais contorna completamente o bloqueio baseado em IP.

O bloqueio de listas de IPs baseado nos intervalos publicados da OpenAI deteta o uso ingênuo ou mal configurado do Operator. Não deteta:

O Operator encaminhado através de redes de proxy residencial
Versões futuras do Operator a usar infraestrutura CDN ou edge
Wrappers ou forks de terceiros que usam o mesmo motor de browser sem o intervalo de IP da OpenAI

Mesmo quando o bloqueio baseado em IP deteta a sessão, deteta a sessão do agente do utilizador sem distinguir se essa sessão estava a concluir uma compra que o utilizador genuinamente queria. Um bloqueio de IP contundente cancela a tarefa do utilizador real sem lhe dar qualquer indicação do que aconteceu.

A deteção apenas por cabeçalhos (correspondência de user-agent) falha pela mesma razão. O user-agent do Operator em modo de navegação ativo é uma string Chrome padrão. Não há nada nos cabeçalhos HTTP que distinga uma sessão do Operator de uma sessão Chrome humana.

Deteção na Camada do Browser: O Que Revela

Resposta rápida: O cside opera dentro da própria sessão do browser. Observa o timing de interação, a consistência das impressões digitais, os padrões de eventos de interface e sinais comportamentais que nenhuma ferramenta de camada de rede consegue ver, incluindo os padrões que distinguem uma sessão do Operator de um humano real no mesmo IP com o mesmo user-agent.

O cside deteta os seguintes sinais para sessões como o Operator:

Timing de interação: Os utilizadores humanos têm timing variável e impreciso ao clicar, fazer scroll e preencher formulários. O Operator executa com precisão de máquina: intervalos consistentes entre cliques, sem hesitação nos campos de formulário, sem deriva do cursor.
Consistência das impressões digitais: Um browser real utilizado por um humano acumula ruído na impressão digital comportamental ao longo do tempo. As sessões do Operator apresentam frequentemente impressões digitais limpas e consistentes que correspondem aos valores predefinidos da máquina em vez de ambientes de utilizador estabelecidos.
Padrões de execução JavaScript: O Operator executa JavaScript mas não carrega a pilha ambiental completa que uma sessão Chrome humana acumula (extensões do browser, artefactos de armazenamento local, recursos em cache de sessões anteriores).
Sequenciamento de pedidos de rede: A navegação humana gera padrões de pedidos de rede irregulares e não lineares. Os pedidos do Operator seguem a lógica de execução de tarefas, produzindo um sequenciamento reconhecível mesmo quando os pedidos individuais parecem normais.

Estes sinais são invisíveis na camada de rede. Apenas são acessíveis dentro da sessão do browser, onde o cside opera. Os engenheiros do cside contornaram a deteção tradicional de bots em 81 de 100 cenários de teste. A visibilidade na camada do browser fecha essa lacuna.

Cenário de Deteção Concreto: Operator no Checkout de um Retalhista de Moda

Um utilizador instrui o OpenAI Operator a "encomendar a camisola gola redonda cinzenta de merino em tamanho M no [retalhista] e enviar para o meu endereço." O Operator abre uma sessão Chromium, navega diretamente para o URL do produto e adiciona o artigo ao carrinho. A sessão apresenta um user-agent Chrome 124 padrão e um IP residencial em Manchester. Todos os controlos de camada de rede passam sem incidentes.

A instrumentação de camada de browser do cside ativa no carregamento da página. Nos primeiros oito segundos, regista zero micro-movimentos do cursor entre cliques, preenchimento de campos em 190 milissegundos por campo sem retrocesso, e uma pilha de impressão digital sem extensões de browser, sem ativos em cache e sem cookies de sessão anteriores. A navegação moveu-se em linha direta da página do produto para o checkout em 11 segundos sem navegação para trás e sem profundidade de scroll além do botão de adicionar ao carrinho.

Uma sessão humana a concluir a mesma compra demora em média 4 minutos, inclui exploração por scroll e produz uma impressão digital ruidosa num ambiente de browser estabelecido. O cside classifica a sessão do Operator com elevada confiança, apresentando-a para ação de política antes de atingir a submissão do pagamento. A camada de rede não viu nada de incomum.

Como Responder: Uma Abordagem Gradual

Resposta rápida: Assim que conseguir classificar uma sessão do Operator, tem opções para além do bloqueio ou permissão binária. As respostas graduais (fluxos de desafio, limitação de taxa em caminhos específicos, CAPTCHA no checkout ou redirecionamento para um fluxo otimizado para humanos) permitem-lhe gerir o tráfego de agentes sem cancelar a intenção de compra legítima.

Um quadro de resposta prático para sessões do Operator:

Classificação da sessão	Resposta recomendada
Operator declarado, IP conhecido, comportamento benigno	Permitir com monitorização
Operator declarado, padrões de comportamento incomuns	Desafiar com CAPTCHA ou verificação de conta
Agente não declarado, sinais semelhantes ao Operator	Sinalizar para revisão, limitar taxa em caminhos sensíveis
Sessão semelhante ao Operator, sinais de fraude	Bloquear e registar

O objetivo não é eliminar o tráfego de agentes. É operar cada sessão ao nível de confiança correto com base no comportamento observado, não apenas na identidade declarada.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O OpenAI Operator é um agente de IA autónomo lançado pela OpenAI em janeiro de 2025. Utiliza um browser real baseado em Chromium para completar tarefas em nome dos utilizadores, incluindo compras, submissão de formulários e gestão de contas. Ao contrário dos crawlers da OpenAI, o Operator realiza transações em vez de indexar: pode iniciar e concluir compras no seu site.

A OpenAI concebeu o Operator para respeitar o robots.txt em atividades do tipo rastreio. Em modo de transação ativo, a conformidade é inconsistente. Mesmo quando o Operator segue as diretivas do robots.txt, o ficheiro apenas controla os caminhos que visita, não o que faz nas suas páginas permitidas nem como se identifica.

Pode bloquear os intervalos de IP publicados da OpenAI na camada de rede, o que interceta algumas sessões do Operator. Não irá detetar sessões encaminhadas através de proxies residenciais ou sessões em que o Operator apresenta um user-agent Chrome padrão. O bloqueio na camada de rede também não consegue distinguir entre uma sessão maliciosa do Operator e a intenção de compra real de um utilizador transportada pelo Operator.

O cside opera dentro da sessão do browser e observa o timing de interação, a consistência das impressões digitais, os padrões de execução JavaScript e o sequenciamento de pedidos de rede. Estes sinais distinguem o comportamento de precisão máquina do Operator dos padrões de navegação humana, mesmo quando o user-agent e o endereço IP parecem idênticos a uma sessão humana legítima.

Não automaticamente. A Gartner prevê que até 2030, 20% das compras online serão concluídas por agentes de IA. As sessões do Operator podem transportar intenção de compra real de utilizadores reais. A abordagem correta classifica as sessões por identidade e comportamento observado, aplicando depois respostas graduais: permitir agentes verificados, desafiar os ambíguos e bloquear sessões com sinais claros de fraude.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.