Em setembro de 2025, Anthropic revelou que um ator patrocinado por um Estado utilizou um agente de IA para executar uma campanha de ciberespionagem autônoma contra uma treintena de objetivos internacionais. De acordo com a empresa, o agente automatizado encarregou-se da maior parte das tarefas táticas: desde reconhecimento até a geração de código de exploração e movimentos laterais a velocidade de máquina. Esse episódio põe em cima da mesa uma realidade inquietante: a automação não só acelera os ataques, mas também pode mudar radicalmente a sua natureza. Você pode ler o comunicado de Anthropic aqui: Anthropic — Disrupting AI espionage.
A maioria das defesas actuais continuam ancoradas a modelos mentais concebidos para atacantes humanos. O marco do cyber kill chain desenvolvido pela Lockheed Martin em 2011 ajudou a organizar a resposta e a detecção ao descrever como um intruso progride desde o acesso inicial até seu objetivo final. Essa abordagem foi útil durante mais de uma década porque cada fase do ataque oferece oportunidades de detecção e contenção. Ver a explicação original do kill chain na Lockheed Martin: Lockheed Martin — Cyber Kill Chain.
Mas os agentes da IA não se comportam como usuários humanos ou como ferramentas pontuais que devem ser abertas por fases. Essas entidades programadas atuam de forma contínua, orquestram fluxos entre múltiplas aplicações e, em muitos desdobramentos, lhes confiam privilégios amplos para automatizar processos. Se um atacante conseguir comprometer um agente com permissões já concedidas dentro do ambiente da organização, praticamente herda o acesso e a "autoridade" que esse agente possui, e com isso salta acima do kill chain tradicional.
A magnitude do problema fica clara quando imaginamos um agente que já tem visibilidade sobre e-mails, documentos e conversas internas: seu histórico de atividade é, de fato, um mapa detalhado de onde estão os dados valiosos. Um atacante que controla esse agente obtém tanto o guia como as chaves; pode mover informações entre sistemas sob a aparência de operações legítimas e em horários esperados, reduzindo drasticamente os sinais de anomalia que os sistemas de detecção buscam.
Este vetor de risco não é teórico. Incidentes como a crise conhecida como OpenClaw têm mostrado na prática como marketplaces de "skills" maliciosos, vulnerabilidades de execução remota e milhares de instâncias expostas podem ser combinadas para oferecer uma via de acesso extremamente eficiente para atores maliciosos. A análise do caso OpenClaw publicada pela própria empresa que o reportou fornece detalhes sobre a escala e os mecanismos: OpenClaw — Análise do evento.
A consequência directa desta transformação é uma lacuna de detecção. Muitas ferramentas de segurança estão otimizadas para identificar comportamentos que se desviam do padrão humano normal: acessos incomuns, programas executados desde localizações atípicas, escaladas de privilégio que não correspondem ao contexto do usuário. Mas quando a atividade maliciosa é canalizada através de um agente que, por design, acede às mesmas aplicações e move os mesmos tipos de dados, os sinais que normalmente disparariam alarmes são diluídos no ruído da automação.
Diante desse cenário, a primeira prioridade deve ser recuperar visibilidade sobre as entidades automatizadas que interagem com a infraestrutura corporativa. Não se trata apenas de detectar conexões a APIs ou integrações pontuais: é necessário construir um inventário contínuo de agentes, suas origens, suas permissões e os caminhos que traçam através das aplicações SaaS. Sem esse mapa, as equipes de segurança estão essencialmente cegas diante da possibilidade de um processo legítimo ter sido sequestrado.
Controlar o risco implica também repensar a gestão dos privilégios. As práticas de "least privilege" e governança de identidades devem ser aplicadas com a mesma rigurosidade a contas de serviço, aplicações automatizadas e agentes de IA que pessoas. Limitar permissões, avaliar combinações tóxicas entre integrações e segmentar acessos reduz a superfície que um agente comprometido pode explodir. Para quadros mais amplos sobre gestão de riscos em IA e medidas de governança, é útil rever o trabalho do NIST sobre o AI Risk Management Framework: NIST — AI RMF.
A detecção também deve evoluir: faz falta uma abordagem centrada na identidade e no comportamento das máquinas, que entenda o que é "normal" para um agente concreto e seja capaz de identificar desvios sutis em seus padrões de acesso, frequência e destinos de dados. Ferramentas concebidas para perfilar identidades humanas podem ser ampliadas para incorporar modelos de comportamento específicos de agentes, correlando telemetria entre SaaS, IAM e mensagens interna para encontrar discrepâncias que antes passavam despercebidas. No ecossistema de segurança é relevante contrastar estas capacidades com marcos como o MITRE ATT&CK para entender táticas e técnicas que podem se adaptar a agentes automatizados: MITRE ATT&CK.
Além de monitorar e limitar, é imprescindível auditar o software adicional que se conecta aos fluxos críticos. Muitas organizações descobrem tarde que ferramentas de terceiros ou integrações não sancionadas ("shadow AI") têm acesso a informações sensíveis. Um inventário contínuo e verificável de integrações reduz surpresas e permite priorizar remediações segundo o risco real que cada conector contribui.
Isto não é apenas um problema técnico, mas sim uma organização. A adopção de IA nas empresas é normalmente impulsionada por produtividade e automação de processos, com decisões de integração que nem sempre passam por controles centralizados de segurança. Por conseguinte, a resposta exige coordenação entre equipamentos de produto, IT, segurança e cumprimento para que as políticas de acesso e os mecanismos de auditoria sejam integrados desde a fase de implantação de qualquer agente.
No fundo, a lição é clara: a presença de agentes da IA num ambiente já não é apenas uma questão de inovação, é um vetor de risco que muda as regras do jogo. Se a defesa continuar a pensar apenas em intrusos humanos que devem ser abertos passo a passo, chegará tarde – ou não chegará – quando alguém controlar um agente com permissão legítima. A vantagem, em vez disso, é que muitas das medidas que reduzem este risco fazem parte de boas práticas já conhecidas: inventários precisos, governança de acessos, detecção baseada em identidade e segmentação de licenças, aplicadas com a ambição de cobrir também as máquinas.
Para equipes que queiram começar a fechar essa brecha, há soluções emergentes orientadas para descobrir agentes, mapear seu alcance e detectar anomalias específicas de máquinas dentro do ecossistema SaaS. Estas ferramentas combinam descoberta de integrações, visualização de "blast radius" e análise de postura para priorizar intervenções onde mais importam. Se você deseja explorar como colocá-lo em sua organização, você pode consultar recursos e demos oferecidos por fornecedores na matéria, por exemplo: Reco — SaaS-to-SaaS visualization, Reco — Identity and Access Governance e Reco — Identity Threat Detection and Response.
O aparecimento de agentes da IA nas operações diárias não é reversível e coloca tanto oportunidades como riscos. A diferença entre sofrer uma intrusão encoberta e detectá-la a tempo dependerá, em grande medida, de quanto invista uma organização em visibilidade e controle dessas mesmas máquinas. Não se trata de travar a adoção da IA, mas de a integrar com segurança: controlar quem é o "actor" real por trás de cada ação automatizada e garantir que suas permissões, suas rotas e seus comportamentos estejam sujeitos ao mesmo escrutínio que os de qualquer conta humana.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Alerta de segurança: CVE-2026-45829 expõe ChromaDB a execução remota de código sem autenticação
Uma falha crítica na API Python de ChromaDB - a popular base de vetores usada para recuperação durante a inferência de LLM - permite a atacantes não autenticados executar código...