2026-05-05 00:00
← VoltarEmbora a indústria de software tenha feito progressos genuínos nas últimas décadas para fornecer produtos de forma segura, o ritmo furioso da adoção da IA está a colocar esse progresso em risco. As empresas estão migrando rapidamente para uma infraestrutura LLM auto-hospedada, atraídas pela promessa da IA como um multiplicador de força e pela pressão para entregar mais valor com mais rapidez. Mas a velocidade vem às custas da segurança. Após o fiasco do ClawdBot – o assistente viral de IA auto-hospedado que tem uma média impressionante de 2,6 CVEs por dia – a equipe do Intruder queria investigar o quão ruim é realmente a segurança da infraestrutura de IA. Para avaliar a superfície de ataque, usamos logs de transparência de certificados para extrair pouco mais de 2 milhões de hosts com 1 milhão de serviços expostos. O que descobrimos não foi bonito. Na verdade, a infraestrutura de IA que verificamos era mais vulnerável, exposta e mal configurada do que qualquer outro software que já investigamos. Não demorou muito para detectar um padrão alarmante: um número significativo de hosts foi implantado imediatamente, sem autenticação.
A análise do código-fonte revelou o porquê: a autenticação simplesmente não está habilitada por padrão em muitos desses projetos. Dados reais de usuários e ferramentas da empresa estavam expostos a qualquer pessoa que olhasse. Nas mãos erradas, as consequências vão desde danos à reputação até comprometimento total. Aqui estão alguns dos exemplos...
Embora a indústria de software tenha feito progressos genuínos nas últimas décadas para fornecer produtos de forma segura, o ritmo furioso da adoção da IA está a colocar esse progresso em risco. As empresas estão migrando rapidamente para uma infraestrutura LLM auto-hospedada, atraídas pela promessa da IA como um multiplicador de força e pela pressão para entregar mais valor com mais rapidez. Mas a velocidade vem às custas da segurança. Após o fiasco do ClawdBot – o assistente viral de IA auto-hospedado que tem uma média impressionante de 2,6 CVEs por dia – a equipe do Intruder queria investigar o quão ruim é realmente a segurança da infraestrutura de IA. Para avaliar a superfície de ataque, usamos logs de transparência de certificados para extrair pouco mais de 2 milhões de hosts com 1 milhão de serviços expostos. O que descobrimos não foi bonito. Na verdade, a infraestrutura de IA que verificamos era mais vulnerável, exposta e mal configurada do que qualquer outro software que já investigamos. Não demorou muito para detectar um padrão alarmante: um número significativo de hosts foi implantado imediatamente, sem autenticação.
A análise do código-fonte revelou o porquê: a autenticação simplesmente não está habilitada por padrão em muitos desses projetos. Dados reais de usuários e ferramentas da empresa estavam expostos a qualquer pessoa que olhasse. Nas mãos erradas, as consequências vão desde danos à reputação até comprometimento total. Aqui estão alguns dos exemplos mais marcantes do que foi exposto. Vários casos envolveram chatbots que deixaram expostas as conversas dos usuários. Um exemplo, baseado em OpenUI, expôs o histórico completo de conversas LLM de um usuário. Pode parecer relativamente inocente superficialmente, mas os históricos de bate-papo em ambientes corporativos podem revelar muito. Mais preocupantes foram os chatbots genéricos que hospedam uma ampla gama de modelos – incluindo LLMs multimodais – disponíveis gratuitamente para uso.
Usuários mal-intencionados podem desbloquear a maioria dos modelos para contornar as barreiras de segurança para fins nefastos – como gerar imagens ilegais ou solicitar conselhos com a intenção de cometer um crime – e fazê-lo sem medo de repercussão, já que estão usando a infraestrutura de outra pessoa. Isso não é hipotético. As pessoas estão encontrando maneiras criativas de abusar dos chatbots da empresa para acessar modelos mais capazes sem pagar ou ter solicitações registradas em suas próprias contas. Havia também alguns chatbots questionáveis expondo grandes volumes de conversas pessoais do NSFW. Se isso não bastasse, o software que executa os goon-bots movidos por Claude também divulgou suas chaves de API em texto simples. Também descobrimos instâncias expostas de plataformas de gerenciamento de agentes, incluindo n8n e Flowise. Algumas instâncias que os usuários claramente pensavam serem internas foram expostas à Internet sem autenticação. Um dos exemplos mais flagrantes foi uma instância do Flowise que expôs toda a lógica de negócios de um serviço de chatbot LLM.
A lista de credenciais deles também foi exposta. O Flowise foi reforçado o suficiente para não revelar os valores armazenados a um visitante não autenticado, o que limita o dano imediato, mas um invasor ainda pode usar as ferramentas conectadas a essas credenciais para exfiltrar informações confidenciais. Isto é o que torna estas plataformas particularmente perigosas. Há uma nítida ausência de controles de gerenciamento de acesso adequados nas ferramentas de IA, o que significa que o acesso a um bot integrado a um sistema de terceiros geralmente significa acesso a tudo o que ele toca. Em outro exemplo, a configuração expôs uma série de ferramentas de análise da Internet e funções locais potencialmente perigosas, como gravação de arquivos e interpretação de código, tornando a execução de código no servidor uma perspectiva realista. Identificamos mais de 90 casos expostos em setores como governo, marketing e finanças. Todos esses chatbots, seus fluxos de trabalho, prompts e acesso externo estavam abertos. Um invasor pode modificar os fluxos de trabalho, redirecionar o tráfego, expor dados do usuário ou envenenar respostas.
Uma das descobertas mais surpreendentes foi o grande número de APIs Ollama expostas e acessíveis sem autenticação, com um modelo conectado. Disparamos um único prompt ("Hello") para cada servidor que está ted um modelo conectado, para ver se seríamos solicitados a autenticar. Dos mais de 5.200 servidores consultados, 31% responderam. As respostas deram uma ideia da finalidade para a qual essas APIs estavam sendo usadas. Não poderíamos explorar mais moralmente, mas as implicações são de longo alcance. Alguns exemplos: "Saudações, Mestre. Seu comando é minha lei. Qual é o seu desejo?
Fale livremente. Estou aqui para cumpri-lo, sem hesitação ou questionamento." "Estou aqui para ajudá-lo de todas as maneiras que puder com seus problemas de saúde e bem-estar. Seja ansiedade, problemas de sono ou outras preocupações, não hesite em me pedir ajuda." "Bem-vindo! Sou um assistente de IA integrado aos nossos sistemas de gerenciamento de nuvem. Posso ajudá-lo com tarefas operacionais, implantação de infraestrutura e consultas de serviços." Ollama não armazena mensagens diretamente, portanto não há risco imediato de exposição dos dados da conversa. Mas muitas dessas instâncias envolveram modelos de fronteira pagos da Anthropic, Deepseek, Moonshot, Google e OpenAI. De todos os modelos identificados em todos os servidores, 518 agrupavam modelos de fronteira bem conhecidos. Após a triagem dos resultados, ficou claro que algumas tecnologias mereciam uma análise mais detalhada.
Passamos algum tempo analisando um subconjunto de aplicativos em um ambiente de laboratório e encontramos padrões inseguros repetidos: essas configurações incorretas ficam ainda piores quando os agentes têm acesso a ferramentas como interpretação de código. O raio de explosão fica significativamente maior quando o sandbox é fraco e a infraestrutura não está em uma DMZ. Alguns dos projetos que alimentam a infraestrutura LLM abandonaram claramente décadas de melhores práticas de segurança arduamente conquistadas em favor de uma remessa rápida. Dito isto, não é apenas um problema do fornecedor. A velocidade da adoção da IA e a pressão para vencer os concorrentes no mercado são o que a impulsiona. Não espere que um invasor encontre primeiro sua infraestrutura de IA exposta. O Intruder encontra configurações incorretas e mostra o que é visível de fora. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada.
Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.