Implantação em Massa de Agentes de IA é um Desastre Anunciado, Diz CEO da CertiK
A corrida global para implantar agentes de IA autônomos em redes corporativas, aplicativos de consumo e na internet está gerando uma dívida de segurança catastrófica. A avaliação é de Ronghui Gu, cofundador e CEO da CertiK, empresa especializada em auditoria de segurança em blockchain.
Enquanto as corporações comercializam essas ferramentas como milagres de produtividade, a realidade crua é que o processo pode ser extremamente arriscado. Agentes de IA sem isolamento e sem validação prévia são um desastre de segurança esperando para acontecer. Enquanto as corporações comercializam essas ferramentas como milagres de produtividade, a realidade crua é que o processo pode ser extremamente arriscado. Agentes de IA sem isolamento e sem validação prévia são um desastre de segurança esperando para acontecer, disse Gu.
Ele alertou que os usuários estão potencialmente expondo seus arquivos mais sensíveis, credenciais locais e contas financeiras a sistemas autônomos que podem ser facilmente manipulados, sequestrados e enganados.
“Hoje, os agentes não ficam mais só respondendo perguntas numa janela de chat. Eles estão começando a acionar ferramentas externas, ler arquivos locais, disparar fluxos de trabalho e interagir com infraestrutura financeira. Mas se você não isolar o ambiente de execução e não verificar essas ferramentas antes, está entregando acesso amplo a toda a sua rede.”
A ameaça interna definitiva
Gu explica que muitos aplicativos de IA populares e de código aberto são construídos com a premissa de que, por rodarem localmente no computador do usuário ou se conectarem via aplicativos de mensagens comuns como o WhatsApp, estão protegidos de ameaças externas.
A realidade é exatamente o oposto. No momento em que um usuário concede a um agente de IA permissão para ler o armazenamento local do sistema, acessar históricos de execução ou gerenciar credenciais de e-mail pessoal e banco de dados corporativo, esse agente se torna a ameaça interna definitiva.
A análise recente da CertiK sobre estruturas de agentes em crescimento acelerado revelou uma acumulação impressionante de vulnerabilidades de segurança, incluindo centenas de alertas críticos, falhas conhecidas sem correção e exposições massivas de credenciais locais e memórias de sessão, resultado de verificações de limites completamente inconsistentes.
Mais preocupante ainda é a facilidade com que esses sistemas autônomos podem ser completamente redirecionados na camada de raciocínio, sem que uma única linha de código malicioso precise ser escrita.
Por meio de ataques simples de “injeção de prompt”, um agente malicioso pode embutir instruções ocultas em linguagem natural dentro de uma página da web comum, um documento PDF ou um e-mail recebido. Quando o agente de IA sem isolamento lê esse arquivo para processar uma tarefa, ele não consegue separar comandos confiáveis do sistema de dados externos não confiáveis. O agente então silenciosamente sobrescreve suas regras originais, obedece à instrução maliciosa e pode ser forçado a vazar dados ou acionar transferências financeiras não autorizadas.
Golpes em velocidade de máquina
A CertiK descobriu centenas de skills maliciosos, instaladores falsos e pacotes de dependência falsificados diretamente em hubs abertos de utilitários para agentes. Como esses plug-ins maliciosos usam linguagem natural para influenciar sutilmente o comportamento do agente e alterar seus objetivos, eles passam completamente despercebidos pelos antivírus tradicionais baseados em assinaturas.
“Os apps fraudulentos usam linguagem natural para influenciar o comportamento, o que os torna totalmente resistentes às varreduras de antivírus tradicionais. E hoje em dia, é ainda mais fácil enganar a máquina do que enganar um humano.”
A telemetria da CertiK registrou uma explosão de golpes automatizados on-chain que duram apenas 10 minutos ou algumas horas antes de desaparecerem completamente. Esses ataques efêmeros e ultrarrápidos são projetados especificamente para enganar outros bots de negociação autônomos e sistemas de agentes automatizados, executando uma drenagem financeira máquina a máquina antes que qualquer humano perceba o que aconteceu.
Gu afirma que a indústria de engenharia de software precisa abandonar de vez sua dependência de interações baseadas em confiança e migrar imediatamente para uma arquitetura isolada de “Zero Trust”, em que cada comando e dependência seja continuamente verificado.
Fonte: CoinDesk
