Pesquisadores em cibersegurança têm desvelado uma vulnerabilidade que aproveita a natureza conversacional dos modelos de linguagem para converter uma funcionalidade aparentemente inócua em um canal de fuga de dados. De acordo com o relatório técnico compartilhado pela Miggo Security, o erro permitia a um ator malicioso esconder um fragmento de instrução na descrição de um convite do Google Calendar, de modo que o assistente de IA - neste caso Google Gemini - o interpretasse e executasse ações que exfiltravam informações sensíveis sem que a vítima interagisse conscientemente com a armadilha. Miggo descreve Como se lia a cadeia de ataque.
Em termos práticos, o atacante criava um evento de calendário legítimo e colocava em seu campo de descrição uma instrução redigida em linguagem natural concebida para ser entendida pelo modelo. Quando o usuário perguntava a Gemini algo banal sobre a sua agenda - por exemplo, se tinha reuniões uma terça-feira - o modelo analisava todas as entradas relevantes, encontrava o convite maliciosa e continuava a instrução oculta: gerar um resumo de reuniões e criar um novo evento que continha esse resumo em sua descrição. De face ao usuário a resposta podia parecer inócua, enquanto que, entre bambalinas, estava produzindo uma filtração de dados de reuniões privadas.
O ponto crítico é como as políticas de visibilidade e configuração de calendários em empresas podem transformar esta técnica numa ferramenta de espionagem. Em muitas organizações, os eventos criados dentro de um domínio ou compartilhados por endereços de calendário podem ser visíveis para terceiros ou para contas com permissões mínimas, o que permitia ao atacante aceder à nova entrada que continha a informação exfiltrada sem que a vítima ordenasse expressamente sua divulgação. Após a comunicação responsável pelo achado, o Google aplicou correcções, mas o incidente deixa uma lição clara: as interfaces conversacionais ampliam a superfície de ataque Para além do código tradicional.
Este caso não é isolado. Nas últimas semanas surgiram múltiplas pesquisas que mostram variantes do mesmo problema: agentes e assistentes que, se podem escrever em registros, bases de dados, campos de formulários ou criar recursos externos, podem converter esses objetos em canais de fuga. Ferramentas de auditoria e avaliação contínua de modelos, como Phare de Giskard, recomendam medir não só precisão e viés, mas também resistência a manipulações de entrada e comportamento em tempo de execução.
Além disso, a comunidade tem documentado ataques conceituais afins. Varonis, por exemplo, falou sobre uma abordagem batizada como "Reprompt" que explora a forma como os assistentes podem ser provocados para revelar dados sensíveis com um único clique, enquanto outros equipamentos têm mostrado vetores que permitem escalar privilégios em plataformas de IA geridas pela nuvem. XM Cyber apresentou um relatório sobre como identidades de serviço aparentemente inofensivas podem tornar-se “doáveis agentes” que facilitam a escalada de privilégios em ambientes do Google Cloud Vertex AI, o que sublinha a necessidade de auditar contas de serviço e permissões atribuídas. A sua análise detalha como identidades com permissões limitadas podem chegar a operar com efeitos de alto impacto.
Também foram levantadas falhas em assistentes pessoais e plataformas de agentes que permitem acessar consoles administrativos ou metadados de nuvem. O aviso de vulnerabilidades sobre The Librarian detalha vários CVE que dão acesso a infraestrutura interna e dados sensíveis, um lembrete de que os assistentes personalizados podem se tornar portas traseiras se não se isolarem corretamente. O registo de incidentes e análise Mindgard contêm informações técnicas úteis para equipamentos defensores.
Pesquisas independentes também mostraram como a capacidade de um modelo para escrever em um campo pode ser explorada para recuperar seu próprio "prompt do sistema" ou para codificar informações em formatos como Base64 e depois exfiltrar-a mediante saídas que, à primeira vista, são benignas. Praetorian, por exemplo, demonstrou técnicas para extrair prompts do sistema quando o assistente pode escrever em campos estruturados, e advertiu que qualquer ponto de escrita é um possível canal de fuga. Seu estudo enfatiza este vetor.
O ecossistema de plugins e marketplaces para assistentes também mostrou riscos: um plugin malicioso publicado em uma pasta pode, mediante hooks ou integrações, contornar mecanismos de revisão humana e canalizar informações fora do ambiente previsto. Existem exemplos públicos que demonstram como essas extensões podem ser usadas para contornar proteções e roubar arquivos do usuário. Para entender o mecanismo e suas mitigações, convém rever análise como os de PromptArmor e a documentação de Anthropic sobre como os hooks funcionam em Claude Code: a documentação oficial.
Um caso especialmente técnico mostrou como agentes que integram ambientes de desenvolvimento podem ser cooptados: Pillar Security descreveu uma vulnerabilidade em Cursor que permitia execução remota ao manipular comandos internos do shell que os agentes consideravam confiáveis, transformando ações permitidas pelo desenvolvedor em vetores de execução arbitrária. O CVE e a análise da cadeia de ataque ilustram a fragilidade de confiar implicitamente em comportamentos do ambiente. O aviso no GitHub e o relatório Pillar Security Eles fornecem os detalhes técnicos.
Complementando esses achados, um estudo comparativo sobre agentes de codificação mostrou que, embora esses assistentes evitam ataques clássicos como injeções SQL ou XSS com relativa frequência, tendem a falhar em problemas de lógica de negócio, SSRF e controles de autorização, e muitas implementações carecem de proteções básicas como CSRF ou limites de autenticação. Essa avaliação sublinha que a supervisão humana continua a ser crítica e que, como adverte Ori David de Tenzai, os agentes não podem substituir o julgamento humano em decisões complexas de segurança sem orientações explícitas. A sua análise É uma leitura recomendável para equipes que exibem assistentes de desenvolvimento.
O que devem então fazer as organizações? Não há pílula mágica: é necessária uma combinação de design seguro, restrições rigorosas de permissões, auditoria contínua de identidades e ações dos agentes, testes adversos que incluam injeções semânticas e, sobretudo, aplicar o princípio de menor privilégio a qualquer capacidade que permita escrever ou criar recursos. A segurança dos sistemas de IA já não é apenas uma questão de adesivos no código; é também a governação da linguagem e o controlo do comportamento em tempo de execução. Ferramentas de avaliação de modelos, revisões de configuração na nuvem e programas de divulgação responsáveis são peças-chave para reduzir o risco.
Num momento em que as características “nativas de IA” se multiplicam em aplicações empresariais, convém lembrar que cada interface conversacional ou automação adiciona um novo vetor que merece sua própria camada de defesa. A vulnerabilidade em Gemini e os incidentes relacionados são uma chamada de atenção: a segurança deve evoluir ao ritmo da inovação, e isso passa por combinar engenharia, vigilância e formação para que as IAs façam o que devem – e só isso – em ambientes produtivos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...