Mon, 22 Jun 2026
← VoltarNo início deste mês, falei no Gartner Security & Risk Management Summit sobre um ponto cego que a maioria dos programas de segurança ainda não considera:
No início deste mês, falei no Gartner Security & Risk Management Summit sobre um ponto cego que a maioria dos programas de segurança ainda não leva em conta: como os invasores estão contornando os programas de segurança de IA usando infraestrutura legada para sequestrar agentes de IA. A adoção da IA está avançando mais rápido do que os programas de segurança podem imaginar. Aproximadamente 71% das organizações estão testando agentes de IA em seus aplicativos empresariais e 31% já os migraram para fluxos de trabalho de produção. Por esse motivo, as organizações estão legitimamente investindo recursos na proteção de cargas de trabalho de IA contra envenenamento de modelos, injeção imediata, vazamento de dados e outras ameaças emergentes.
No entanto, esse foco perde tudo que está abaixo da camada de IA. Porque um servidor sem patch, uma permissão do Active Directory configurada incorretamente ou uma credencial armazenada em cache na máquina de um desenvolvedor são exposições que fornecem aos invasores uma rota direta para tudo de que seus agentes de IA dependem: bases de conhecimento, armazenamento em nuvem, funções Lambda, integrações SaaS e as credenciais que os conectam. Isso significa que os agentes da ameaça não precisam realmente atacar sua IA de frente – eles só precisam alcançar aquilo a que ela está conectada. Neste artigo, explicarei como a infraestrutura legada se torna o caminho de ataque para ambientes de agentes de IA e o que as equipes de segurança podem fazer para bloquear esses caminhos.
Apesar de sua novidade e poder, de certa forma, os agentes de IA operam como outros ativos em seu ambiente. Eles autenticam por meio de provedores de identidade existentes, armazenam dados em buckets de nuvem existentes, executam tarefas por meio de funções Lambda existentes e herdam permissões de funções IAM existentes. Cada uma dessas dependências carrega qualquer dívida de segurança que a organização tinha antes do início da implantação da IA. Além do mais, a maioria das organizações está inadvertidamente agravando essa dívida.
De acordo com a Infosecurity Magazine, 70% das organizações concedem aos seus sistemas de IA acesso mais privilegiado do que um ser humano na mesma função. Não é de surpreender que isso tenha um preço doloroso. As organizações com IA com privilégios excessivos relataram uma taxa de incidentes de 76%, em comparação com apenas 17% para aquelas que impõem privilégios mínimos. Todas essas conexões – provedores de identidade, buckets de nuvem, funções Lambda, funções IAM – são executadas por meio da infraestrutura que suas equipes gerenciam há anos: Active Directory, Cloud IAM, contas de serviço, credenciais armazenadas.
No entanto, nada disso foi projetado tendo em mente os agentes de IA, e a maior parte foi provisionada muito antes de o primeiro agente entrar em produção. O resultado é que um invasor que consegue passar por qualquer uma dessas camadas não precisa tocar na IA. As próprias permissões do agente fazem o trabalho para eles. O diagrama abaixo mostra uma arquitetura típica de agente de IA empresarial.
Uma equipe de sucesso do cliente usa um Co-Pilot com tecnologia de IA, hospedado no AWS Bedrock, para consultar dados de clientes exportados do Salesforce para um bucket S3. O Co-Pilot executa tarefas por meio de funções Lambda e integra-se a aplicativos de negócios. John, um desenvolvedor, cria e mantém o agente. Os usuários de toda a organização interagem com ele diariamente.
Agora, aqui está o que acontece quando um invasor encontra uma maneira de entrar. O diagrama a seguir mostra um caminho de ataque que minha equipe modelou em um ambiente corporativo real. Nenhuma dessas exposições é exótica – elas existem, em alguma combinação, na maioria das redes empresariais atualmente. O que os torna perigosos é a forma como eles se conectam.
Veja como o ataque se desenvolveu, etapa por etapa. O caminho de ataque que acabei de descrever atravessa quatro camadas: rede, identidade, nuvem e IA. A maioria dos programas de segurança avalia cada uma dessas camadas de forma independente, e as exposições em cada uma delas podem já ser conhecidas. Uma ferramenta EASM sinaliza o servidor Tomcat.
Uma ferramenta de segurança do AD detecta a configuração incorreta da delegação. Uma ferramenta CSPM capta o acesso S3 superprivilegiado. Cada um relata uma descoberta moderada que pode não ser remediada devido à menor prioridade, mas que em combinação se torna um problema crítico: uma vulnerabilidade do Tomcat no perímetro encadeia através do AD nas credenciais de nuvem de um desenvolvedor e termina em um Base de conhecimento do agente de IA. Fechar esses caminhos começa com uma abordagem de gerenciamento de exposição que trata as dependências dos agentes de IA (bases de conhecimento, depósitos de armazenamento, funções Lambda, etc.) como ativos críticos.
A partir daí, mapeie de trás para frente: quais relacionamentos de identidade, permissões e infraestrutura se conectam a esses ativos e quais dessas conexões carregam exposições exploráveis no contexto do seu ambiente? Quando você mapeia o caminho completo, surgem pontos de estrangulamento – locais onde uma única correção bloqueará várias rotas para seus ativos de IA. Se a sua plataforma de gerenciamento de exposição puder rastrear esse caminho completo – desde o servidor legado, passando pelo AD e pela infraestrutura em nuvem até a base de conhecimento de um agente de IA – você poderá corrigir a exposição antes que um invasor a encadeie. Se não puder, nenhuma proteção na camada de IA irá fechá-la.
A adoção de agentes de IA está acelerando em todos os departamentos empresariais. E cada novo agente implantado se conecta à infraestrutura que já está exposta. Isso significa que a superfície de ataque aumenta a cada implantação. A questão para os líderes de segurança não é se a sua camada de IA está protegida.
É se o ambiente em que esses agentes operam – incluindo a sua infraestrutura legada básica – está dando aos invasores o caminho para sequestrá-los. Porque os invasores não precisam de novas técnicas para comprometer os agentes de IA. Eles só precisam dos antigos – e de um ambiente que lhes permita usar o antigo para explorar o novo. Observação: este artigo foi cuidadosamente escrito e contribuído para nosso público por Zur Ulianitzky, vice-presidente sênior de pesquisa de produtos e segurança da XM Cyber.
Aprenda como descobrir o uso oculto da IA, ver quais dados ela pode acessar, mapear cada ação da IA para um proprietário humano e aplicar governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.