IA e Markdown no Notepad abrem porta a hackers no Windows 11

O Bloco de Notas, outrora um exemplo de simplicidade e minimalismo no ecossistema Windows, está a atravessar uma crise de identidade que agora se traduz em riscos reais para a segurança dos utilizadores. A mais recente actualização “Patch Tuesday” da Microsoft, lançada em Fevereiro de 2026, trouxe a público uma vulnerabilidade crítica que permite a execução remota de código (RCE) através de uma aplicação que, historicamente, nunca precisou de ligação à Internet para funcionar. O problema reside na integração de funcionalidades de Inteligência Artificial e no suporte a ficheiros Markdown, transformando o humilde editor de texto num potencial cavalo de Tróia.

A vulnerabilidade, identificada tecnicamente como CVE-2026-20841, expõe uma falha grave na forma como o Bloco de Notas processa elementos especiais em comandos específicos. Segundo os dados partilhados pela Microsoft e analisados por especialistas de segurança, o erro ocorre devido à neutralização imprópria de caracteres em ficheiros Markdown (.md). Um atacante pode criar um ficheiro malicioso que, ao ser aberto pela vítima, utiliza protocolos não verificados para descarregar e executar código arbitrário a partir de um servidor remoto.

O cenário de ataque é enganadoramente simples. O utilizador recebe um ficheiro Markdown e, ao clicar num link especificamente preparado dentro do documento, desencadeia uma sequência de eventos que permite ao invasor obter o mesmo nível de privilégios que o utilizador local. Com uma pontuação de gravidade CVSS de 8.8, esta falha é classificada como “Importante” pela Microsoft, embora a comunidade de cibersegurança a considere “Crítica” devido à facilidade com que pode levar ao controlo total de um computador pessoal.

A questão que domina os fóruns da especialidade e as redes sociais prende-se com a necessidade de o Bloco de Notas possuir conectividade de rede. A resposta da Microsoft é clara, mas controversa: a integração do Copilot e de outras ferramentas de IA generativa exige que a aplicação esteja permanentemente ligada aos serviços na nuvem. Esta “infusão indesejada” de IA, como muitos críticos a apelidam, é precisamente o que está a criar novos vectores de ataque onde antes existia apenas texto simples.

Ao contrário da versão clássica do Bloco de Notas, a iteração moderna disponível na Microsoft Store funciona como uma aplicação complexa. A inclusão de funcionalidades como a correcção de texto por IA ou a integração com o Copilot obriga a aplicação a processar dados de forma dinâmica, o que abre brechas para a injecção de comandos. Especialistas do grupo vx-underground foram dos primeiros a alertar para este “0-day”, sublinhando que editores de texto não deveriam, por norma, possuir funcionalidades de rede que permitam a execução de scripts externos.

Esta correcção no Bloco de Notas não surge isolada. A Microsoft lançou um total de 59 correcções de segurança neste ciclo, abrangendo o Windows, o Office, o Azure e outros componentes vitais do sistema. Entre estas, encontram-se seis vulnerabilidades que já estavam a ser exploradas activamente e três falhas de “dia zero” que foram tornadas públicas antes da disponibilização da correcção.

O pacote de actualizações resolve 25 falhas de elevação de privilégios, 12 vulnerabilidades de execução remota de código e várias brechas de spoofing e negação de serviço. No entanto, o caso do Bloco de Notas destaca-se por representar uma mudança de paradigma. Enquanto ferramentas como o Paint ou a aplicação de Fotografias também receberam funcionalidades de IA — como a remoção de objectos ou o preenchimento generativo —, o impacto de uma falha num editor de texto é percepcionado como mais grave devido à frequência com que estes ficheiros são partilhados em ambientes profissionais.

A comunidade de utilizadores está a reagir com cepticismo a esta evolução do software nativo do Windows. Muitos argumentam que a Microsoft está a transformar ferramentas leves em “bloatware” (software pesado e desnecessário), o que não só prejudica o desempenho do sistema, como também aumenta a superfície de ataque para cibercriminosos. O argumento central é simples: se um utilizador deseja IA, deve procurar ferramentas específicas, mantendo as utilidades básicas do sistema o mais isoladas e seguras possível.

Apesar de não existirem provas de que a CVE-2026-20841 tenha sido explorada em larga escala antes do lançamento do remendo, o risco permanece elevado para quem não mantém o sistema actualizado. A recomendação oficial passa por instalar as actualizações de Fevereiro de 2026 de imediato e garantir que a aplicação Bloco de Notas na Microsoft Store está na versão mais recente. Este incidente serve de lembrete sobre como a corrida pela integração da Inteligência Artificial em todos os cantos do sistema operativo pode ter custos imprevistos na segurança e na privacidade de quem utiliza o Windows diariamente.