Nas últimas semanas, a segurança em torno das plataformas que executam código para agentes de inteligência artificial voltou a ligar os alarmes. Pesquisadores de cibersegurança descreveram uma técnica capaz de extrair informações sensíveis aproveitando consultas ao sistema de nomes de domínio (DNS) desde ambientes que, sobre o papel, deveriam estar isolados. O relatório publicado por BeyondTrust detalha como o modo sandbox do Code Interpreter da Amazon Bedrock AgentCore permite resolver DNS para o exterior, o que pode abrir canais de comando e controle e vias de exfiltração mesmo quando a configuração indica “sem acesso à rede”.
O vetor é surpreendentemente simples em sua ideia: se um ambiente sandbox pode emitir consultas DNS para domínios controlados por um atacante, essas petições podem se tornar mensagens bidirecionais. Na prática, os pesquisadores conseguiram montar uma comunicação interativa que permite enviar comandos e receber respostas usando registros DNS, obter uma shell reversa interativa e filtrar dados armazenados em serviços da AWS - por exemplo, em buckets de S3 - sempre que o papel IAM associado ao intérprete de código tenha permissões excessivas. Além da extração, o mecanismo pode servir para entregar cargas que o próprio Code Interpreter baixe e execute, consultando instruções armazenadas em registros A de um servidor DNS malicioso.
O achado se pontua como um problema sério: embora na hora de escrever não tenha identificador CVE, BeyondTrust atribuiu uma severidade que desperta atenção. A Amazon, por sua vez, após a divulgação responsável em setembro de 2025, definiu este comportamento como funcionalidade intencional e recomenda migrar cargas críticas para o modo VPC para alcançar um verdadeiro isolamento de rede. Em seu blog e documentação explica-se a natureza do serviço e as opções de implantação; por exemplo, você pode consultar a introdução oficial ao Code Interpreter no blog da AWS Amazon Bedrock AgentCore Code Interpreter e o guia técnico na documentação oficial da AWS. Para aqueles que procuram isolamento completo, a AWS aponta para operar dentro de uma VPC e empregar um corta-fogo DNS para bloquear resoluções indesejadas; uma referência útil sobre essa proteção é o artigo sobre essa proteção Route 53 Resolver DNS Firewall.
Este incidente ilustra um padrão recorrente: a combinação de execução de código dinâmico (propria dos agentes IA) e permissões mal calibrados pode multiplicar os danos. Se um serviço que executa código tem atribuído um papel IAM demasiado permissivo, o valor de cada consulta DNS maliciosa aumenta, porque o atacante poderia, por exemplo, pedir ao intérprete que leia recursos aos quais esse papel tem acesso e devolver essa informação através de subdomínios. A recomendação prática imediata que muitos especialistas repetem é rever e limitar os papéis IAM associados a esses serviços, aplicando o princípio de menor privilégio e migrando instâncias sensíveis a ambientes com regras de rede mais rigorosas.
Não está sozinha esta onda de advertências. Paralelamente à investigação sobre Bedrock, outras plataformas e bibliotecas do ecossistema da IA mostraram vulnerabilidades de gravidade. A plataforma de observabilidade LangSmith sofreu uma falha que permitia a um atacante roubar tokens e fazer com contas de usuário mediante manipulação de um parâmetro URL; esse problema recebeu a designação CVE-2026-25750 e foi subsanciado na versão 0.12.71, segundo descreveram os descubridores em sua análise Miggo Security. O risco era que com um token comprometido um atacante pode revisar o histórico de traços da IA e recuperar chamadas a ferramentas que contenham consultas internas, registros de CRM ou fragmentos de código privado.
Outro conjunto de vulnerabilidades preocupantes afeta a SGLang, um framework de código aberto para servir modelos de linguagem e multimodais. Pesquisadores de Orca descreveram falhas de deserialização insegura com pickle que, em cenários concretos, permitem execução remota de código sem autenticação. Os problemas cobram identidade pública nos registros de CVE como CVE-2026-3059, CVE-2026-3060 e CVE-2026-3989, e Orca publicou uma análise técnica que merece ler-se com calma aqui. O CERT/CC também emitiu um aviso coordenado indicando que, quando certos módulos estão ativos e expostos à rede, um atacante pode enviar arquivos pickle maliciosos ao corretor ZeroMQ e provocar a deserialização de dados não confiáveis de acordo com o aviso.
As lições são claras e aplicáveis a organizações de qualquer tamanho: os ambientes de execução de agentes e modelos já fazem parte da coluna vertebral de muitas operações, pelo que devem ser tratadas como infra-estruturas críticas. Migrar cargas sensíveis a redes privadas virtuais e reforçar controlos DNS reduz a superfície de risco, mas não substitui a necessidade de auditar permissões, rever configurações por defeito e atualizar rapidamente quando um adesivo é publicado. Além disso, expor interfaces de ZeroMQ ou similar a redes não confiáveis é um convite ao risco; essas portas devem ser fechadas por segmentação e regras que limitem o acesso a hosts e portos concretos.
De uma perspectiva operacional, convém implementar monitorização dedicada: alertas por processos que abram conexões salientes incomuns, por criação de arquivos em rotas estranhas ou por tráfego DNS para domínios não habituais. No caso de LangSmith, a ação imediata foi atualizar a uma versão corrigida; no caso de SGLang, além de adesivos, a mitigação passa por restringir o alcance dos corretores e aplicar controles de rede. A Amazon, por sua vez, recomendou expressamente que os clientes com cargas críticas deixem o modo sandbox e se movam para VPC Para obter isolamento, e empreguem soluções de filtragem DNS como a mencionada pela AWS.
Por último, este episódio lembra que a inovação em IA traz novos desafios para a segurança: execução dinâmica, integração com serviços na nuvem e flexibilidade para desenvolvedores convivem com vetores que os atacantes podem encadear. A resposta não é renunciar a estas ferramentas, mas gerir com políticas de segurança robustas, revisões de permissões regulares e um ciclo de adesivo e auditoria tão ágil quanto o desenvolvimento que alimenta estas plataformas. Manter-se informado através das análises de assinaturas da indústria e dos avisos oficiais, como os ligados neste artigo, é uma parte essencial dessa defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...