Pesquisadores em cibersegurança acenderam uma luz de alarme sobre uma nova forma em que os assistentes de inteligência artificial podem ser abusados: converter suas capacidades de navegação web ou recuperação de URLs em canais silenciosos de comando e controle (C2) que se misturam com o tráfego legítimo de uma empresa. A técnica, testada pelos pesquisadores contra serviços como Microsoft Copilot e xAI Grok, tem sido documentada por Check Point sob o nome “AI as a C2 proxy”.
O núcleo do problema é simples e inquietante: quando um assistente de IA pode acessar a web ou recuperar conteúdo de um URL, esse comportamento legítimo pode ser reconduzido para transportar instruções maliciosas e exfiltrar dados. Uma equipe de atacantes deve primeiro ter comprometido uma máquina — mediante phishing, vulnerabilidade sem adesivo ou qualquer outro vetor clássico — e instalar um software malicioso que invoque o assistente de IA com indicações desenhadas para que ele recupere conteúdo de infraestrutura controlada pelo atacante. A resposta que o assistente oferece pode conter comandos ou fragmentos de código que o malware executa localmente, fechando assim um canal de comando bidirecional que é difícil de distinguir do tráfego autorizado.
A ameaça não se limita a executar ordens pontuais; Os pesquisadores alertam que o mesmo eixo pode ser usado como um motor de decisões externas. O atacante pode enviar informações do sistema comprometido ao modelo e pedir não só comandos, mas também estratégias de evasão, passos de reconhecimento adicionais ou decisão sobre se vale a pena continuar a explorar esse equipamento. Em outras palavras, a IA pode atuar como uma camada adicional de automação e tomada de decisões para campanhas mais sofisticadas, aproximando-nos do que os especialistas chamam operações de C2 ao estilo AIOps.
O que torna especialmente problemática esta técnica é que, nos testes descritos, não é necessária uma chave de API ou uma conta registrada. Isso implica que as respostas maliciosas podem circular através dos endpoints dos serviços públicos sem passar por credenciais controladas pela vítima ou pelo fornecedor, o que limita a efetividade de mitigações tradicionais como a revogação de chaves ou a suspensão de contas.
Este abuso de serviços de confiança lembra outras modalidades que os atacantes têm usado durante anos para esconder suas atividades dentro de canais legítimos — uma família de técnicas a que se chamou living off trusted sites (LOTS) —. Não é um fenômeno isolado: semanas antes, a equipe Unit 42 de Palo Alto Networks demonstrou como uma página web aparentemente inofensiva pode consultar um modelo de linguagem em tempo real para gerar JavaScript malicioso que se junta e executa no cliente, permitindo criar páginas de phishing dinâmicas. O relatório de Unit 42 sobre este método está disponível no seu site: Real-time malicious JavaScript through LLMs.
Há também semelhanças conceituais com as chamadas técnicas de “Last Mile Reassembly” (LMR), onde o atacante envia fragmentos de malware através de canais não monitorados (por exemplo, WebRTC ou WebSocket) e os recompõe no navegador da vítima, evitando controles de segurança da rede. Uma análise de LMR pode ser consultada em esta exploração técnica, e serve como lembrete de que os vetores que misturam comportamento legítimo e montagem em tempo de execução são difíceis de mitigar se os controles se concentram apenas na assinatura ou na reputação do domínio.
O que isso significa para empresas e administradores de segurança? Primeiro, os modelos de IA e as suas capacidades de navegação não são meras ferramentas de produtividade: são novos serviços na rede que requerem governação e controlos específicos. Blindar o perímetro clássico já não é suficiente se os atacantes podem fazer suas comunicações viagens por rotas que parecem legítimas. Para enfrentar este desafio, convém combinar medidas técnicas e políticas: limitar a capacidade de navegação dos assistentes de IA em ambientes sensíveis, aplicar controlos de egress que registram e permitam auditar chamadas a serviços de modelos de linguagem, e utilizar segmentação de rede para reduzir o alcance de uma equipe comprometida. Além disso, os controles no endpoint devem evoluir para identificar comportamentos suspeitos – como processos que invocam interfaces web de IA e depois executam comandos recebidos – e não depender apenas da detecção por assinaturas.
No plano da prevenção, a adoção de listas de permitidos (allowlists) para domínios ou APIs críticas, a supervisão dos registros DNS e a correlação entre atividade de modelos de IA e telemetria do endpoint podem ajudar a detectar anomalias. As organizações também devem exigir aos fornecedores de soluções de IA maior transparência e mecanismos que limitem utilizações anormais, como autenticação mais rigorosa para capacidades de navegação, limites na descarga de conteúdo arbitrário e mecanismos de rastreabilidade que permitam aos equipamentos de segurança investigar incidentes. Por sua vez, as políticas internas devem definir claramente quais assistentes de IA estão autorizados e com que permissões; em ambientes de alto risco, pode ser preferível desativar a função de busca/browsing nos assistentes corporativos.
A comunidade de segurança já enfrenta cenários semelhantes de outras óticas: o MITRE e os marcos de ameaça descrevem técnicas onde os adversários reutilizam ferramentas legítimas do ambiente para o seu benefício, o que reforça a ideia de que a detecção baseada apenas na reputação é insuficiente ( ver MITRE ATT&CK sobre living-off-the-land). Ao mesmo tempo, os achados de organizações como Check Point e Unit 42 mostram que a fronteira entre serviços “confiais” e canais de ataque está ficando turva.
Em suma, estamos perante uma nova camada de risco onde os modelos de IA podem servir tanto para acelerar ataques como para camuflar. Não é um apocalipse tecnológico, mas sim um chamado a atualizar práticas de defesa, governança e educação. Tentar assistentes de IA como um novo tipo de serviço de rede, com controles, monitoramento e políticas claras, será fundamental para evitar que se tornem relés inadvertidos de campanhas maliciosas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...