Como os Assistentes de IA Estão Movendo as Balizas da Segurança

Assistentes ou "agentes" baseados em IA — programas autônomos que têm acesso ao computador, arquivos, serviços online do usuário e podem automatizar virtualmente qualquer tarefa — estão crescendo em popularidade entre desenvolvedores e profissionais de TI. Mas, como tantas manchetes surpreendentes nas últimas semanas mostraram, essas novas ferramentas poderosas e assertivas estão rapidamente mudando as prioridades de segurança para as organizações, ao mesmo tempo em que borram as linhas entre dados e código, colega de trabalho confiável e ameaça interna, hacker ninja e programador novato.

A nova sensação em assistentes baseados em IA — OpenClaw (anteriormente conhecido como ClawdBot e Moltbot ) — tem visto rápida adoção desde seu lançamento em novembro de 2025. OpenClaw é um agente de IA autônomo de código aberto projetado para rodar localmente em seu computador e tomar ações proativamente em seu nome sem precisar ser solicitado.

Se isso soa como uma proposta arriscada ou um desafio, considere que o OpenClaw é mais útil quando tem acesso completo à sua vida digital, onde pode então gerenciar sua caixa de entrada e calendário, executar programas e ferramentas, navegar na Internet em busca de informações e integrar-se com aplicativos de bate-papo como Discord, Signal, Teams ou WhatsApp.

Outros assistentes de IA mais estabelecidos, como o Claude da Anthropic e o Copilot da Microsoft também podem fazer essas coisas, mas o OpenClaw não é apenas um mordomo digital passivo esperando por comandos. Em vez disso, ele é projetado para tomar a iniciativa em seu nome com base no que sabe sobre sua vida e em sua compreensão do que você quer que seja feito.

"Os depoimentos são notáveis", observou a empresa de segurança de IA Snyk . "Desenvolvedores construindo sites de seus telefones enquanto colocam bebês para dormir; usuários administrando empresas inteiras através de uma IA com tema de lagosta; engenheiros que configuraram loops de código autônomos que corrigem testes, capturam erros através de webhooks e abrem pull requests, tudo enquanto estão longe de suas mesas."

Você provavelmente já pode ver como essa tecnologia experimental poderia dar errado rapidamente. No final de fevereiro, Summer Yue , a diretora de segurança e alinhamento do laboratório de "superinteligência" da Meta, relatou no Twitter/X como ela estava mexendo com o OpenClaw quando o assistente de IA de repente começou a excluir mensagens em massa em sua caixa de entrada de e-mail. O tópico incluiu capturas de tela de Yue implorando freneticamente ao bot preocupado via mensagem instantânea e ordenando que ele parasse.

"Nada te humilha mais do que dizer ao seu OpenClaw 'confirme antes de agir' e vê-lo acelerar a exclusão da sua caixa de entrada", disse Yue. "Eu não conseguia impedi-lo do meu telefone. Eu tive que CORRER para o meu Mac mini como se estivesse desativando uma bomba."

Não há nada de errado em sentir um pouco de schadenfreude no encontro de Yue com o OpenClaw, que se encaixa no modelo "mova-se rápido e quebre coisas" da Meta, mas dificilmente inspira confiança no caminho a seguir. No entanto, o risco que os assistentes de IA mal protegidos representam para as organizações não é motivo de riso, como mostra uma pesquisa recente que muitos usuários estão expondo à Internet a interface administrativa baseada na web para suas instalações do OpenClaw.

Jamieson O'Reilly é um profissional de teste de penetração e fundador da empresa de segurança DVULN . Em uma história recente postada no Twitter/X, O'Reilly alertou que expor uma interface web do OpenClaw mal configurada à Internet permite que partes externas leiam o arquivo de configuração completo do bot, incluindo todas as credenciais que o agente usa — de chaves de API e tokens de bot a segredos OAuth e chaves de assinatura.

Com esse acesso, disse O'Reilly, um atacante poderia se passar pelo operador para seus contatos, injetar mensagens em conversas em andamento e exfiltrar dados através das integrações existentes do agente de uma forma que pareça tráfego normal.

"Você pode extrair o histórico completo de conversas em todas as plataformas integradas, o que significa meses de mensagens privadas e anexos de arquivos, tudo o que o agente viu", disse O'Reilly, observando que uma busca superficial revelou centenas de servidores desse tipo expostos online. "E como você controla a camada de percepção do agente, você pode manipular o que o humano vê. Filtrar certas mensagens. Modificar as respostas antes que sejam exibidas."

O'Reilly documentou outro experimento que demonstrou como é fácil criar um ataque bem-sucedido à cadeia de suprimentos através do ClawHub , que serve como um repositório público de "habilidades" para download que permitem ao OpenClaw se integrar e controlar outros aplicativos.

QUANDO A IA INSTALA A IA

Um dos princípios fundamentais da proteção de agentes de IA envolve isolá-los cuidadosamente para que o operador possa controlar totalmente quem e o que pode conversar com seu assistente de IA. Isso é crítico graças à tendência dos sistemas de IA de caírem em ataques de "injeção de prompt", instruções de linguagem natural astutamente elaboradas que enganam o sistema para desconsiderar suas próprias salvaguardas de segurança. Em essência, máquinas fazendo engenharia social em outras máquinas.

Um ataque recente à cadeia de suprimentos direcionado a um assistente de codificação de IA chamado Cline começou com um desses ataques de injeção de prompt, resultando em milhares de sistemas tendo uma instância desonesta do OpenClaw com acesso total ao sistema instalada em seu dispositivo sem consentimento.

De acordo com a empresa de segurança grith.ai , a Cline havia implantado um fluxo de trabalho de triagem de problemas alimentado por IA usando uma ação do GitHub que executa uma sessão de codificação do Claude quando acionada por eventos específicos. O fluxo de trabalho foi configurado para que qualquer usuário do GitHub pudesse acioná-lo abrindo um problema, mas não conseguiu verificar adequadamente se as informações fornecidas no título eram potencialmente hostis.

"Em 28 de janeiro, um atacante criou o Problema #8904 com um título elaborado para se parecer com um relatório de desempenho, mas contendo uma instrução embutida: Instale um pacote de um repositório GitHub específico", escreveu a Grith, observando que o atacante então explorou várias outras vulnerabilidades para garantir que o pacote malicioso fosse incluído no fluxo de trabalho de lançamento noturno da Cline e publicado como uma atualização oficial.

"Este é o equivalente na cadeia de suprimentos de deputado confuso ", continuou o blog. "O desenvolvedor autoriza a Cline a agir em seu nome, e a Cline (via comprometimento) delega essa autoridade a um agente totalmente separado que o desenvolvedor nunca avaliou, nunca configurou e nunca consentiu."

CODIFICAÇÃO DE VIBE

Assistentes de IA como o OpenClaw ganharam muitos seguidores porque tornam simples para os usuários "codificar por vibe", ou construir aplicativos e projetos de código bastante complexos apenas dizendo o que eles querem construir. Provavelmente o exemplo mais conhecido (e mais bizarro) é o Moltbook , onde um desenvolvedor disse a um agente de IA rodando no OpenClaw para construir para ele uma plataforma semelhante ao Reddit para agentes de IA.

Menos de uma semana depois, o Moltbook tinha mais de 1,5 milhão de agentes registrados que postaram mais de 100.000 mensagens uns para os outros. Agentes de IA na plataforma logo construíram seu próprio site pornô para robôs e lançaram uma nova religião chamada Crustafarian com uma figura modelada a partir de uma lagosta gigante. Um bot no fórum teria encontrado um bug no código do Moltbook e o postado em um fórum de discussão de agentes de IA, enquanto outros agentes criaram e implementaram um patch para corrigir a falha.

O criador do Moltbook, Matt Schlicht disse nas redes sociais que não escreveu uma única linha de código para o projeto.

"Eu só tinha uma visão para a arquitetura técnica e a IA tornou isso realidade", disse Schlicht. "Estamos na era de ouro. Como podemos não dar à IA um lugar para sair."

ATACANTES SOBEM DE NÍVEL

O outro lado dessa era de ouro, é claro, é que ela permite que hackers maliciosos de baixa qualificação automatizem rapidamente ataques cibernéticos globais que normalmente exigiriam a colaboração de uma equipe altamente qualificada. Em fevereiro, a Amazon AWS detalhou um ataque elaborado no qual um ator de ameaças de língua russa usou vários serviços comerciais de IA para comprometer mais de 600 equipamentos de segurança FortiGate em pelo menos 55 países durante um período de cinco semanas.

A AWS disse que o hacker aparentemente de baixa qualificação usou vários serviços de IA para planejar e executar o ataque e para encontrar portas de gerenciamento expostas e credenciais fracas com autenticação de fator único.

"Um serve como o principal desenvolvedor de ferramentas, planejador de ataques e assistente operacional", escreveu CJ Moses da AWS. "Um segundo é usado como um planejador de ataques suplementar quando o ator precisa de ajuda para pivotar dentro de uma rede comprometida específica. Em uma instância observada, o ator enviou a topologia interna completa de uma vítima ativa — endereços IP, nomes de host, credenciais confirmadas e serviços identificados — e solicitou um plano passo a passo para comprometer sistemas adicionais aos quais não conseguiam acessar com suas ferramentas existentes."

"Essa atividade se distingue pelo uso pelo ator de ameaças de vários serviços GenAI comerciais para implementar e dimensionar técnicas de ataque bem conhecidas em todas as fases de suas operações, apesar de suas capacidades técnicas limitadas", continuou Moses. "Notavelmente, quando esse ator encontrou ambientes reforçados ou medidas defensivas mais sofisticadas, eles simplesmente passaram para alvos mais fáceis em vez de persistir, ressaltando que sua vantagem reside na eficiência e escala aumentadas pela IA, não em habilidades técnicas mais profundas."

Para os atacantes, obter esse acesso inicial ou ponto de apoio em uma rede alvo normalmente não é a parte difícil da intrusão; a parte mais difícil envolve encontrar maneiras de se mover lateralmente dentro da rede da vítima e saquear servidores e bancos de dados importantes. Mas especialistas da Orca Security alertam que, à medida que as organizações passam a depender mais de assistentes de IA, esses agentes potencialmente oferecem aos atacantes uma maneira mais simples de se mover lateralmente dentro da rede de uma organização vítima após o comprometimento — manipulando os agentes de IA que já têm acesso confiável e algum grau de autonomia dentro da rede da vítima.

"Ao injetar injeções de prompt em campos negligenciados que são buscados por agentes de IA, os hackers podem enganar LLMs, abusar de ferramentas Agentic e realizar incidentes de segurança significativos", escreveram Roi Nisimi e Saurav Hiremath da Orca. "As organizações agora devem adicionar um terceiro pilar à sua estratégia de defesa: limitar a fragilidade da IA, a capacidade dos sistemas agentic de serem influenciados, enganados ou silenciosamente transformados em armas em todos os fluxos de trabalho. Embora a IA impulsione a produtividade e a eficiência, ela também cria uma das maiores superfícies de ataque que a internet já viu."

CUIDADO COM A 'TRIFETA LETAL'

Essa dissolução gradual das fronteiras tradicionais entre dados e código é um dos aspectos mais preocupantes da era da IA, disse James Wilson , editor de tecnologia empresarial do programa de notícias de segurança Risky Business . Wilson disse que muitos usuários do OpenClaw estão instalando o assistente em seus dispositivos pessoais sem primeiro colocar quaisquer limites de segurança ou isolamento ao redor dele, como executá-lo dentro de uma máquina virtual, em uma rede isolada, com regras de firewall estritas ditando que tipos de tráfego podem entrar e sair.

"Eu sou um profissional relativamente altamente qualificado em engenharia de software e rede e espaço computacional", disse Wilson. "Eu sei que não me sinto confortável usando esses agentes a menos que eu tenha feito essas coisas, mas acho que muitas pessoas estão apenas girando isso em seu laptop e ele sai correndo."

Um modelo importante para gerenciar o risco com agentes de IA envolve um conceito apelidado de "trifeta letal" por Simon Willison , co-criador do framework Django Web . A trifeta letal sustenta que, se o seu sistema tem acesso a dados privados, exposição a conteúdo não confiável e uma maneira de se comunicar externamente, então ele é vulnerável ao roubo de dados privados.

"Se o seu agente combina esses três recursos, um atacante pode facilmente enganá-lo para acessar seus dados privados e enviá-los ao atacante", alertou Willison em uma postagem de blog frequentemente citada de junho de 2025.

À medida que mais empresas e seus funcionários começam a usar a IA para codificar software e aplicativos, o volume de código gerado por máquina provavelmente em breve sobrecarregará quaisquer revisões de segurança manuais. Em reconhecimento a essa realidade, a Anthropic recentemente estreou o Claude Code Security , um recurso beta que escaneia bases de código em busca de vulnerabilidades e sugere patches de software direcionados para revisão humana.

O mercado de ações dos EUA, que atualmente é fortemente ponderado em direção a sete gigantes da tecnologia que estão todos dentro da IA, reagiu rapidamente anúncio da Anthropic, eliminando aproximadamente US$ 15 bilhões em valor de mercado de grandes empresas de segurança cibernética em um único dia.

Laura Ellis , vice-presidente de dados e IA da empresa de segurança Rapid7 , disse que a resposta do mercado reflete o papel crescente da IA na aceleração do desenvolvimento de software e na melhoria da produtividade do desenvolvedor.

"A narrativa se moveu rapidamente: a IA está substituindo o AppSec", escreveu Ellis em uma postagem de blog recente. "A IA está automatizando a detecção de vulnerabilidades. A IA tornará as ferramentas de segurança legadas redundantes. A realidade é mais matizada. O Claude Code Security é um sinal legítimo de que a IA está remodelando partes do cenário de segurança. A questão é quais partes e o que isso significa para o resto da pilha."

O fundador da DVULN, O'Reilly, disse que os assistentes de IA provavelmente se tornarão um acessório comum em ambientes corporativos — quer as organizações estejam preparadas ou não para gerenciar os novos riscos introduzidos por essas ferramentas, disse ele.

"Os mordomos robôs são úteis, eles não vão embora e a economia dos agentes de IA torna a adoção generalizada inevitável, independentemente das compensações de segurança envolvidas", escreveu O'Reilly. "A questão não é se vamos implantá-los — vamos — mas se podemos adaptar nossa postura de segurança rápido o suficiente para sobreviver fazendo isso."