Nas últimas semanas, a segurança dos modelos de linguagem em grande escala (LLM) deixou de ser uma preocupação teórica para se tornar um alvo real e lucrativo para o crime organizado. Pesquisadores que implantaram honeypots projetados para simular serviços de IA têm observado um volume massivo de tentativas de acesso não autorizados, o que permitiu destapar uma operação criminosa que comercializa o acesso a infraestruturas de IA mal configuradas.
A equipe de Pillar Security documentou mais de 35.000 sessões de ataque em apenas 40 dias, um ritmo que sublinha a rapidez com que os atacantes detectam e aproveitam pontos expostos. Esses achados, relatados no relatório de Pillar Security, descrevem uma campanha batizada como Bizarre Bazaar, que os analistas consideram um dos primeiros exemplos atribuídos a um ator concreto do que já se denomina “LLMjacking”: a tomada e monetização de endpoints de LLM pouco protegidos. Você pode ler o relatório técnico do Pillar Security em sua página oficial: Pillar Security — Operation Bizarre Bazaar.
O objectivo destes acessos não é apenas provocar custos por inferências; o negócio criminoso é múltiplo. Entre as motivações detectadas figuram o uso de capacidade computacional roubada para mineração de criptomoedas, a revenda de acessos a APIs de IA em mercados fortemente opacos, o roubo de dados contidos em prompts e históriais de conversa, e a tentativa de se mover lateralmente dentro de infraestruturas corporativas através de servidores do denominado Model Context Protocol (MCP). A combinação de gastos operacionais elevados, informações sensíveis e vetores de movimento lateral converte os endpoints de LLM num alvo muito rentável, tal como sinalizam os pesquisadores.
A técnica habitual dos atacantes começa com uma digitalização em larga escala na Internet para localizar serviços expostos: instâncias auto-alojadas de modelos, APIs compatíveis com OpenAI que ficam abertas em portos comuns, servidores MCP acessíveis publicamente e ambientes de desenvolvimento ou staging com IP público. Os maus configurados que detectaram incluem endpoints sem autenticação em soluções como o Ollama e a APIs OpenAI compatíveis expostas em portos típicos; estes erros são geralmente visíveis em poucos minutos ou horas após a entrada em procuradores de serviços na Internet como Shodan ou Censys O que facilita a rápida exploração.
Não se trata apenas de atacantes oportunistas: Pillar descreve uma cadeia criminal organizada com papéis diferenciados. Uns bots realizam a exploração inicial, outros validam e testam os acessos, e um terceiro gerencia a comercialização desses acessos através de um serviço que opera publicamente em canais de mensagens de difícil rastreamento. Esse serviço promove uma plataforma que promete acesso unificado a dezenas de modelos, uma proposta atraente para compradores com pouca escrúpulos que preferem pagar com criptomoedas ou métodos alternativos. Os pesquisadores associaram a operação com alias específicas que usam os supostos operadores.
Paralelamente, foram observadas campanhas centradas exclusivamente no reconhecimento de endpoints MCP, uma tática preocupante porque esses servidores podem oferecer a porta para ações de maior impacto: interação com clusters Kubernetes, acesso a serviços cloud e execução de comandos em sistemas comprometidos. Em muitos cenários este tipo de acesso permite aos atacantes escalar privilégios e mover-se lateralmente, com consequências que vão muito além do custo por inferência.
A pesquisa de Pillar não surge no vácuo: outros equipamentos detectaram atividade similar. No início do mês, GreyNoise publicou análises que mostram digitalizaçãos em massa direcionados a serviços comerciais de LLM com o objetivo de enumerar endpoints disponíveis, um sinal mais do que a visibilidade pública de infra-estruturas de IA tornou-se uma fonte explorável. Você pode revisar as análises gerais de GreyNoise em seu blog: GreyNoise — Blog. Além disso, meios especializados como BleepingComputer As conclusões de Pillar foram recolhidas e tentaram contactar os serviços mencionados para obter as suas explicações.
O que as organizações podem fazer para se proteger? Acima de tudo, tratar os endpoints de LLM como recursos sensíveis e dispendiosos. É imprescindível assegurar que qualquer serviço de inferência exposto exija autenticação robusta, que as APIs estejam por trás de portas de ligação que limitem o uso e a taxa de petições, e que as instâncias de desenvolvimento ou staging não fiquem acessíveis da Internet em modo aberto. Também convém aplicar segmentação de rede, regras de firewall que restrinjam o acesso por IP, rotação e proteção de chaves, e registro exaustivo de telemetria para detectar picos de uso incomuns que possam indicar abuso. A monitorização precoce e a resposta automatizada a padrões anormais podem significar a diferença entre um incidente menor e uma intrusão com impacto amplo.
Igualmente importante é rever a política de retenção e acesso a prompts e conversas. Muitos equipamentos armazenam histórias ou exemplos de interação que podem conter dados sensíveis; em caso de filtração, essa informação pode facilitar fraudes, engenharia social ou filtração de propriedade intelectual. Limitar o que se guarda, anonimizar dados quando possível e auditar quem e como acessa esses registros são medidas que reduzem o risco.
A lição é clara: a adoção acelerada de IA empresarial criou novas superfícies de ataque que requerem maturidade operacional. Os fornecedores de modelos, as plataformas de orquestração e os equipamentos internos devem colaborar para impor controlos mínimos e partilhar indicadores de compromisso. Enquanto isso, as digitalizaçãos em massa e os mercados que revendem acessos continuarão a funcionar; até que a segurança e a governação não se incorporem ao desenho das infra-estruturas de IA, campanhas e Bizarre Bazaar encontrarão novas vítimas.
Para aprofundar as fontes originais e recomendações de segurança, vale a pena ler o relatório do Pillar Security e consultar recursos sobre segurança da API e práticas de implantação seguro de modelos: Relatório do Pillar Security, a cobertura de notícias BleepingComputer, e documentação geral sobre a exposição de serviços na Internet consultada Shodan e Censys. Se você gerencia ou desenvolve serviços de IA, é momento de auditar acessos e assumir que qualquer endpoint descoberto publicamente pode ser atacado em questão de horas.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...