Menos de 13 horas depois de se tornar pública, uma vulnerabilidade de alta gravidade em LMDeploy – o conjunto de ferramentas de código aberto para comprimir, implantar e servir modelos de linguagem e visão – já estava sendo explorada em ambientes reais. A falha, registrada como CVE-2026-33626 com pontuação CVSS 7.5, é uma variante do Server-Side Request Forgery (SSRF) no módulo visão-lenguaje: uma função que descarrega imagens de URLs não valida se esses endereços pertencem a redes internas ou serviços de metadados na nuvem, abrindo a porta a acessos não autorizados a recursos sensíveis.
O vetor é simples e perigoso: o loader de imagens aceita URLs arbitrários. Um atacante que controle a entrada pode forçar o servidor a solicitar recursos internos como o serviço de metadados da instância na AWS (IMDS), bases de dados locais, interfaces administrativas em loopback ou endpoints internos que normalmente não estão acessíveis da Internet. No caso relatado, os atacantes combinaram digitalização de portos internos e exfiltração por DNS OOB para confirmar e explorar a capacidade da SSRF como "primitiva HTTP".
Que a exploração tenha ocorrido em questão de horas não é por acaso. Na prática, as divulgações técnicas que incluem o fragmento de código vulnerável, o nome do parâmetro e exemplos funcionais atuam como instruções precisas para atores maliciosos – e hoje também como prompts para modelos comerciais – acelerando a tradução de um problema detectado a um exploit operacional. Isto mostra uma dinâmica preocupante no ecossistema de infra-estruturas de IA: tempo de resposta extremamente curto entre publicação e ataque.
As consequências potenciais são materiais e multifacetadas. Robo de credenciais nuvem através de IMDS, reconhecimento e movimento lateral para serviços internos, compromisso de bases de dados ou caudas, e a possibilidade de persistência se o servidor afetado tiver permissões ampliadas são cenários plausível. Para ambientes industriais ou executando controladores e PLCs expostos, a combinação de probes maciços e digitalização seletivos é uma receita para interrupções e manipulação.
Do ponto de vista operacional, a primeira prioridade imediata deve ser conter a exposição. Se a sua organização usar o LMDeploy com suporte de visão‐lenguaje, aplique a correção oficial se já estiver disponível ou desactive temporariamente as funcionalidades de carregamento remoto de imagens. Como medida de contenção adicional, bloco ou restringir o tráfego de saída dos servidores de inferência, implemente regras de egress que permitam apenas domínios e faixas explicitamente necessários e garanta que não exista acesso direto a 169.254.169.254 (IMDS) ou a interfaces loopback desde processos que aceitam URLs de clientes.
Há atenuações específicas na nuvem que reduzem o impacto deste tipo de SSRF. Para instâncias AWS, ativar IMDSv2 e fixar o hop limit ou desativar o acesso a metadados quando não for necessário limitar a capacidade de um atacante para roubar credenciais. Também é recomendável aplicar segmentação de rede estrita, aplicar listas brancas de domínios para fetches salientes e empregar proxies inversos ou validadores que verifiquem whitelist/blacklist de IPs e faixas RFC1918 antes de permitir um pedido externo. Em termos gerais, validar e normalizar entradas que contenham URLs é obrigatório; contornar esta validação foi a raiz do incidente.
Na detecção e resposta, procure indicadores claros: pedidos do servidor para 169.254.169.254, ligações ao loopback 127.0.0.1 desde processos que normalmente não as realizam, cadeias de consulta contendo URLs fornecidas por terceiros, e consultas DNS atípicas para domínios OOB (out‐of‐band). Revise logs do serviço de modelos para padrões de requests que mudem entre diferentes modelos ou que mostrem tentativas de digitalização de portos internos. Se suspeitar de compromisso, isole a instância, coleta evidências e rote credenciais expostas.
Este incidente deve servir como lembrete de que a segurança em infra-estruturas de modelos não é apenas tradicional: implica considerar como funções concebidas para flexibilidade (como carregar uma imagem remota) podem tornar-se vetores de acesso à rede interna. Os responsáveis por produtos e equipamentos de segurança devem incorporar revisões de design orientadas para a exposição de rede, testes de SSRF e controlos de saída por defeito em qualquer componente que processa URLs externos.
Para aprofundar a prevenção e padrões de mitigação de SSRF, consulte o guia da OWASP sobre o tema e a documentação da AWS sobre o serviço de metadados, que descrevem controles concretos aplicáveis em produção: OWASP SSRF Prevention Cheat Sheet e AWS Instance Metadata Service (IMDS) documentation. Além disso, a própria publicação do achado e a correção podem ser encontradas na assessoria pública do projeto: GitHub Advisory GHSA-6w67-hwm5-92mq.
Em suma, as organizações que implementam modelos e gateways de inferência devem assumir que os exploits chegarão com extrema rapidez após uma divulgação e preparar tanto adesivos como medidas compensatórias e capacidades de detecção. Actualizar, segmentar, monitorar e validar entradas São os pilares para reduzir o risco imediato; a melhoria sustentada exige integrar essas práticas no ciclo de desenvolvimento e implantação de infra-estruturas de IA.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...