Bastou um relatório de erro falso. Investigadores da Tenet Security, uma empresa dedicada à segurança de agentes de inteligência artificial, demonstraram que conseguem enganar os assistentes de programação com IA mais usados do mundo, como o Claude Code, o Cursor e o Codex, e levá-los a correr código do atacante na máquina de quem os usa. Testaram a técnica contra mais de cem alvos reais e acertaram em 85% das vezes. Chamaram-lhe Agentjacking, o sequestro de um agente de IA.
O que devia tirar o sono a quem está a meter estes agentes em produção não é a percentagem. É a razão por que funciona. Um agente de IA não distingue os dados que lê de uma ordem para agir. Se a informação que lhe chega traz instruções disfarçadas, ele obedece, com os privilégios de quem o está a usar. Trinta anos de cibersegurança foram construídos para apanhar aquilo que não é autorizado: o software malicioso, a palavra-passe roubada, a intrusão. Aqui não há nada disso. Cada passo da cadeia é uma ação legítima, autorizada, executada por uma ferramenta de confiança.
Como funciona, passo a passo
A porta de entrada é o Sentry, uma plataforma popular de monitorização de erros que muitas equipas de software usam para registar as falhas das suas aplicações. Para lhe enviar um erro basta uma chave pública, o chamado DSN, que o próprio Sentry documenta como segura para deixar à vista no código de um site. Qualquer pessoa que a encontre pode injetar um «erro» à escolha.
O atacante envia um erro fabricado com uma falsa secção de «Resolução», escrita para parecer um conselho técnico legítimo, e que esconde um comando malicioso. Mais tarde, o programador pede ao seu assistente de IA para resolver os erros pendentes. O agente vai buscá-los através do MCP (Model Context Protocol, o protocolo que liga os agentes de IA às ferramentas externas), lê o erro plantado e trata-o como informação de confiança vinda do sistema. Executa o comando. A partir daí, um pacote controlado pelos investigadores vasculhava variáveis de ambiente, chaves da Amazon, credenciais de código e enviava tudo para fora, em silêncio. Num contexto empresarial, a mesma técnica permite roubar as credenciais da cadeia de produção de software, aceder a repositórios de código privados, comprometer a infraestrutura na cloud e instalar acesso permanente.
Por reconhecimento passivo, a Tenet encontrou 2388 organizações expostas com chaves injetáveis válidas, desde empresas avaliadas em 250 mil milhões de dólares até programadores a solo. Em mais de cem casos confirmados, o agente correu mesmo o código.
Porque contorna tudo o resto
Este ataque passa ao lado do antivírus avançado, da firewall, da VPN, da Cloudflare e da gestão de identidades. E passa por uma razão simples: não há nada de malicioso para detetar. «A inovação não é uma falha nova: é a facilidade e a escala com que os agentes podem ser sequestrados no mundo real», escreveram os investigadores. Pior ainda, as defesas ao nível das instruções falharam. Mesmo quando o agente foi explicitamente mandado ignorar dados não fiáveis, executou na mesma.
Há um pormenor que fecha o argumento. Quando a Tenet avisou o Sentry, a resposta veio no mesmo dia: reconheceram o problema, mas recusaram corrigi-lo na raiz, classificando-o como «tecnicamente indefensável». Limitaram-se a bloquear uma assinatura específica do ataque. Por outras palavras, o dono da plataforma diz que isto não se resolve do lado dele. Resta o único sítio onde ainda se pode travar: o próprio agente, no instante em que decide agir.
Isto não é o problema de um produto. É a fatura que começa a chegar por termos passado os agentes de IA de completar texto para correr terminais, abrir repositórios e gerir infraestrutura, tudo a despachar para os pôr em produção. Cada ferramenta nova que ligamos a um agente é uma porta nova. O agente passou a ser a superfície de ataque.
Como te proteges
- Trata o resultado de qualquer ferramenta ligada ao teu agente como dados não fiáveis, nunca como instruções a cumprir.
- Dá ao agente o mínimo de privilégios e de segredos: chaves de curta duração, separadas, e nunca a chave-mestra do ambiente.
- Exige confirmação humana antes de o agente executar comandos de sistema ou instalar pacotes.
- Isola o ambiente de desenvolvimento do resto, em contentores ou máquinas dedicadas, para que um agente comprometido não chegue à produção.
- Faz o inventário das integrações: que ferramentas o teu agente consulta e quais delas devolvem dados que vêm de fora.
- Roda já as chaves e os segredos que possam ter passado por um agente exposto.
A pressa de dar autonomia às máquinas anda mais depressa do que a nossa capacidade de lhes pôr travões. Enquanto isso não muda, parte do princípio de que tudo o que o teu agente lê lhe pode estar a dar ordens.
Fonte original: Tenet Security.
#StaySafe
🙏🖖
