Primeiro Ataque Autônomo Completo de Agente de IA: O Que Aconteceu e Como se Defender
Pesquisadores da Sysdig descreveram o primeiro ataque de ransomware totalmente autônomo executado por um agente de IA sem intervenção humana. O artigo detalha a cadeia de comprometimento, a importância deste caso para a segurança de agentes de IA e as medidas de proteção recomendadas.
MundiX News·07 de julho de 2026·5 min de leitura·👁 1 views
Pesquisadores da Sysdig descreveram o primeiro ataque de ransomware totalmente autônomo, executado por um agente de IA sem qualquer participação humana. Vamos analisar como a cadeia de comprometimento foi construída, por que este caso é importante para todos os agentes de IA e quais medidas podem ajudar a reduzir o risco de ataques semelhantes.
A Sysdig é uma empresa que desenvolveu o popular instrumento de código aberto Falco, destinado a garantir a segurança de dispositivos Linux, contêineres e ambientes de nuvem.
Como o Ataque Foi Realizado
Os pesquisadores da Sysdig descobriram que um agente de IA baseado em LLM (Large Language Model) executou de forma independente todo o ciclo de um ataque: invasão do sistema, roubo de credenciais, movimentação lateral na rede, criptografia e destruição de um banco de dados organizacional. O ponto de entrada foi uma vulnerabilidade CVE-2025-3248, há muito corrigida, mas ainda amplamente utilizada, no Langflow – uma ferramenta popular de código aberto para a construção de aplicações de IA. A presença da vulnerabilidade e a ausência de medidas de segurança adicionais (o servidor com Langflow estava acessível pela internet) permitiam que qualquer atacante com acesso ao servidor executasse código Python arbitrário sem a necessidade de login.
Servidores Langflow representam um alvo atraente, pois frequentemente ficam expostos na internet e contêm chaves de API e credenciais para serviços conectados.
Cadeia de Infecção
Após obter acesso, o agente de IA agiu de forma rápida e metódica. Ele escaneou o sistema e coletou dados confidenciais: chaves de API de serviços de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciais de nuvem (Alibaba, Tencent, AWS, Google, Azure), chaves de carteiras de criptomoedas e logins de bancos de dados. O agente descobriu e "invadiu" um servidor MinIO, utilizando credenciais padrão de fábrica (minioadmin:minioadmin) que nunca foram alteradas pelo proprietário do servidor. Ele também estabeleceu um mecanismo de persistência, adicionando uma tarefa agendada que enviava um sinal para o servidor do atacante a cada 30 minutos.
Em seguida, o agente de IA mudou seu foco para o alvo principal – um servidor separado com um banco de dados MySQL. Utilizando uma vulnerabilidade de bypass de autenticação CVE-2021-29441 e a chave de serviço padrão do Nacos, que não era alterada desde 2020, o agente de IA acessou o sistema como administrador.
Destruição Sem Possibilidade de Recuperação
O agente criptografou todas as 1342 configurações do Nacos, removeu as tabelas originais e deixou uma nota de resgate exigindo pagamento em Bitcoin. No entanto, a chave de criptografia gerada pelo agente de IA foi exibida apenas uma vez e não foi salva ou enviada para o servidor dos invasores. Assim, a recuperação dos dados seria impossível mesmo com o pagamento. Apesar das alegações na nota sobre criptografia AES-256, os pesquisadores da Sysdig observam que a ferramenta utilizada aplica por padrão uma criptografia AES-128 mais fraca. Após a criptografia, o agente removeu os bancos de dados, deixando um comentário em seu código sobre supostos dados copiados, o que também não foi confirmado.
Como os Especialistas Determinaram que um Agente de IA Conduziu o Ataque
O principal indício foi o conteúdo do código do ataque. O código malicioso continha explicações detalhadas em linguagem natural, descrevendo cada passo – uma característica típica do trabalho de um modelo de linguagem, que um "hacker humano" dificilmente deixaria. O agente também corrigiu seus próprios erros com velocidade de máquina. Em um caso, ele passou de uma tentativa de login falha para uma correção correta e multifacetada em 31 segundos, diagnosticando a causa exata da falha em vez de tentar cegamente novamente. No total, a Sysdig registrou o uso de mais de 600 exploits individuais.
E mais um detalhe curioso: o endereço Bitcoin na nota de resgate coincidia com um exemplo da documentação dos desenvolvedores do Bitcoin. Ele aparece em milhões de textos nos quais os modelos são treinados. Os especialistas da Sysdig não conseguiram determinar se o modelo usou o endereço familiar por acaso ou se o invasor que controlava o agente de IA escolheu intencionalmente essa carteira.
O JADEPUFFER representa mais um passo na rápida evolução do cenário de ataques de IA. Se no passado o resultado da IA era utilizado por criminosos para criar e-mails de phishing e deepfakes, agora agentes de IA controlados por criminosos criam exploits, criptografam dados e destroem infraestruturas de forma autônoma.
Recomendações de Proteção
Como os criminosos agora podem criar agentes de IA que atacam sistemas em toda a internet a um custo significativamente menor, recomendamos prestar atenção especial à segmentação em camadas da infraestrutura de TI (sobre a qual detalhamos em um webinar). O uso de IA permite que os criminosos transformem informações sobre uma nova vulnerabilidade em um exploit pronto em questão de horas. Por essa razão, as organizações devem dedicar mais atenção ao monitoramento da segurança da informação e à detecção de atividades suspeitas no tráfego de rede e nos servidores. Isso deve ser feito com sistemas de detecção e prevenção de intrusão (IDS/IPS) de rede e host, em vez de depender exclusivamente da velocidade com que os administradores de DevOps conseguem instalar atualizações de segurança.
Se você deseja se aprofundar em ferramentas práticas de proteção, recomendamos nosso guia detalhado sobre Wazuh. Ele aborda a arquitetura da plataforma, configuração de SIEM, coleta e análise de logs, regras de correlação, controle de integridade de arquivos, detecção de vulnerabilidades e outras funcionalidades para monitoramento de segurança de infraestrutura.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da Sysdig descreveram o primeiro ataque de ransomware totalmente autônomo, executado por um agente de IA sem qualquer participação humana. Vamos analisar como a cadeia de comprometimento foi construída, por que este caso é importante para todos os agentes de IA e quais medidas podem ajudar a reduzir o risco de ataques semelhantes.
A Sysdig é uma empresa que desenvolveu o popular instrumento de código aberto Falco, destinado a garantir a segurança de dispositivos Linux, contêineres e ambientes de nuvem.
Como o Ataque Foi Realizado
Os pesquisadores da Sysdig descobriram que um agente de IA baseado em LLM (Large Language Model) executou de forma independente todo o ciclo de um ataque: invasão do sistema, roubo de credenciais, movimentação lateral na rede, criptografia e destruição de um banco de dados organizacional. O ponto de entrada foi uma vulnerabilidade CVE-2025-3248, há muito corrigida, mas ainda amplamente utilizada, no Langflow – uma ferramenta popular de código aberto para a construção de aplicações de IA. A presença da vulnerabilidade e a ausência de medidas de segurança adicionais (o servidor com Langflow estava acessível pela internet) permitiam que qualquer atacante com acesso ao servidor executasse código Python arbitrário sem a necessidade de login.
Servidores Langflow representam um alvo atraente, pois frequentemente ficam expostos na internet e contêm chaves de API e credenciais para serviços conectados.
Cadeia de Infecção
Após obter acesso, o agente de IA agiu de forma rápida e metódica. Ele escaneou o sistema e coletou dados confidenciais: chaves de API de serviços de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciais de nuvem (Alibaba, Tencent, AWS, Google, Azure), chaves de carteiras de criptomoedas e logins de bancos de dados. O agente descobriu e "invadiu" um servidor MinIO, utilizando credenciais padrão de fábrica (minioadmin:minioadmin) que nunca foram alteradas pelo proprietário do servidor. Ele também estabeleceu um mecanismo de persistência, adicionando uma tarefa agendada que enviava um sinal para o servidor do atacante a cada 30 minutos.
Em seguida, o agente de IA mudou seu foco para o alvo principal – um servidor separado com um banco de dados MySQL. Utilizando uma vulnerabilidade de bypass de autenticação CVE-2021-29441 e a chave de serviço padrão do Nacos, que não era alterada desde 2020, o agente de IA acessou o sistema como administrador.
Destruição Sem Possibilidade de Recuperação
O agente criptografou todas as 1342 configurações do Nacos, removeu as tabelas originais e deixou uma nota de resgate exigindo pagamento em Bitcoin. No entanto, a chave de criptografia gerada pelo agente de IA foi exibida apenas uma vez e não foi salva ou enviada para o servidor dos invasores. Assim, a recuperação dos dados seria impossível mesmo com o pagamento. Apesar das alegações na nota sobre criptografia AES-256, os pesquisadores da Sysdig observam que a ferramenta utilizada aplica por padrão uma criptografia AES-128 mais fraca. Após a criptografia, o agente removeu os bancos de dados, deixando um comentário em seu código sobre supostos dados copiados, o que também não foi confirmado.
Como os Especialistas Determinaram que um Agente de IA Conduziu o Ataque
O principal indício foi o conteúdo do código do ataque. O código malicioso continha explicações detalhadas em linguagem natural, descrevendo cada passo – uma característica típica do trabalho de um modelo de linguagem, que um "hacker humano" dificilmente deixaria. O agente também corrigiu seus próprios erros com velocidade de máquina. Em um caso, ele passou de uma tentativa de login falha para uma correção correta e multifacetada em 31 segundos, diagnosticando a causa exata da falha em vez de tentar cegamente novamente. No total, a Sysdig registrou o uso de mais de 600 exploits individuais.
E mais um detalhe curioso: o endereço Bitcoin na nota de resgate coincidia com um exemplo da documentação dos desenvolvedores do Bitcoin. Ele aparece em milhões de textos nos quais os modelos são treinados. Os especialistas da Sysdig não conseguiram determinar se o modelo usou o endereço familiar por acaso ou se o invasor que controlava o agente de IA escolheu intencionalmente essa carteira.
O JADEPUFFER representa mais um passo na rápida evolução do cenário de ataques de IA. Se no passado o resultado da IA era utilizado por criminosos para criar e-mails de phishing e deepfakes, agora agentes de IA controlados por criminosos criam exploits, criptografam dados e destroem infraestruturas de forma autônoma.
Recomendações de Proteção
Como os criminosos agora podem criar agentes de IA que atacam sistemas em toda a internet a um custo significativamente menor, recomendamos prestar atenção especial à segmentação em camadas da infraestrutura de TI (sobre a qual detalhamos em um webinar). O uso de IA permite que os criminosos transformem informações sobre uma nova vulnerabilidade em um exploit pronto em questão de horas. Por essa razão, as organizações devem dedicar mais atenção ao monitoramento da segurança da informação e à detecção de atividades suspeitas no tráfego de rede e nos servidores. Isso deve ser feito com sistemas de detecção e prevenção de intrusão (IDS/IPS) de rede e host, em vez de depender exclusivamente da velocidade com que os administradores de DevOps conseguem instalar atualizações de segurança.
Se você deseja se aprofundar em ferramentas práticas de proteção, recomendamos nosso guia detalhado sobre Wazuh. Ele aborda a arquitetura da plataforma, configuração de SIEM, coleta e análise de logs, regras de correlação, controle de integridade de arquivos, detecção de vulnerabilidades e outras funcionalidades para monitoramento de segurança de infraestrutura.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.