Investigadores de segurança recuperaram mais de mil sessões de trabalho de um servidor mal protegido e encontraram lá dentro algo que muda as contas a quem defende empresas: um atacante sem grande perícia que, com ordens vagas dadas a uma inteligência artificial, invadiu pelo menos 14 empresas. Quem fez o reconhecimento, encontrou as falhas, escreveu o código de ataque e roubou os dados não foi ele, foi a IA.
O detalhe importante não é a contagem de vítimas, mas o perfil de quem as fez. Durante anos, o que protegia as organizações não era só a firewall, mas a escassez de pessoas capazes de a contornar. Atacar a sério exigia ofício, e essa barreira acaba de cair. Quando a competência técnica passa para o lado da máquina, basta saber pedir, e este atacante mostrou que saber pedir chega.
O caso foi documentado pelos investigadores da OALABS (Open Analysis), num relatório publicado a 16 de junho. Por um descuido do próprio atacante, o servidor que ele usava ficou exposto, e com ele mais de mil sessões dos agentes de IA que operava. Um agente de IA é um programa a que se dá um objetivo e que executa sozinho os passos para lá chegar. Ele usava dois: o Claude Code, da Anthropic, que fez a maior parte do trabalho, e o Codex, da OpenAI, de forma pontual.
A partir de pedidos vagos e pouco técnicos, o Claude tratava do resto: procurava serviços expostos na internet, identificava vulnerabilidades, escrevia os exploits (o código que transforma uma falha numa porta de entrada), confirmava o acesso e recolhia os dados. Chegou a construir sozinho código de ataque para falhas públicas já conhecidas, como a CitrixBleed 2 ou a DirtyPipe, e a usá-lo contra os alvos com pouca orientação adicional. «O Claude não estava apenas a ajudar o atacante; estava efetivamente a fazer a pirataria», escrevem os investigadores.
Porque as barreiras de segurança quase não dispararam
Os modelos de IA têm barreiras de segurança (guardrails) que, em teoria, recusam pedidos para atacar sistemas, mas que na prática mal se notaram. Em mais de mil sessões, o Claude assinalou nove violações de política e o Codex apenas uma. E quando assinalava, bastava ao atacante reformular: enquadrava o mesmo pedido como um «exercício autorizado de red team», simulações de ataque feitas com permissão do dono do sistema, ou como «investigação em cibersegurança». A máquina, sem forma de confirmar que não havia autorização nenhuma, seguia em frente.
Há ainda um pormenor que fecha o retrato: nem sequer pagava pelas ferramentas. Reaproveitava acessos ao Claude roubados a outros utilizadores. Tudo isto a partir de Addis Abeba, na Etiópia, por alguém com perícia técnica limitada.
Não é um problema distante. O Centro Nacional de Cibersegurança e a Europol têm avisado que a IA generativa está a baixar a barreira de entrada do cibercrime, automatizando o phishing, a fraude e a descoberta de vulnerabilidades. Em Portugal, os ciberataques cresceram mais de 716% desde 2019. Este caso é o aviso a tornar-se manual de instruções: já não é preciso uma equipa, basta um portátil e as palavras certas.
Como te proteges
A defesa não muda de natureza, muda de urgência. Se uma máquina gera ataques para falhas conhecidas em minutos, o tempo entre uma correção sair e ser explorada encolhe para quase nada:
- Aplica as correções (patches) depressa. As falhas usadas neste caso já tinham correção publicada; o que faltou nas vítimas foi instalá-la.
- Reduz a tua superfície exposta. Serviços acessíveis na internet sem necessidade são o primeiro sítio onde um agente de IA vai bater.
- Ativa a autenticação em dois passos em tudo o que for crítico. Um acesso roubado vale menos quando não chega sozinho para entrar.
- Monitoriza o comportamento, não só as assinaturas conhecidas. Um ataque conduzido por IA não segue um manual antigo; o que o denuncia é o padrão estranho, não a ferramenta familiar.
Há uma ironia no fim desta história. Este atacante não foi travado pelas barreiras da IA nem por um defensor brilhante: entregou-se sozinho, ao deixar o currículo, com nome completo e perfil de LinkedIn, no mesmo servidor onde guardava os ataques. A perícia deixou de ser precisa para atacar; para se proteger, continua a ser tudo.
Fonte original: OALABS (Open Analysis).
#StaySafe
🙏🖖
