CEVIU Logo
Voltar
A robot holding a handgun.

Invasores sequestram endpoints de IA expostos para ataques cibernéticos

Aprofundamento CEVIU

Aprofundamento

LiteLLM é um proxy de roteamento de LLM de código aberto, projetado para padronizar chamadas a modelos locais (como Ollama) e serviços em nuvem (OpenAI, Anthropic, etc.). Ele não é um modelo em si, mas uma camada intermediária que traduz requisições entre diferentes APIs, o que o torna um alvo estratégico: comprometê-lo dá acesso ao tráfego de todos os modelos que ele orquestra. A cobertura CEVIU anterior já havia identificado uma cadeia crítica no LiteLLM em 16/06/2026 que permitia escalonamento de privilégios, execução remota de código Python e roubo de credenciais do servidor. Agora, com ataques reais em março-maio de 2026, vemos a exploração prática dessa superfície: endpoints como /v1/responses na porta 4000, sem autenticação ou com chaves padrão (sk-1234), viraram ‘aluguel de cérebro’ para agentes maliciosos.

O ataque não depende de vulnerabilidade de software, mas de configuração errada, o que o torna mais difundido e difícil de detectar. Diferente de exploits clássicos, aqui o invasor envia todo o comportamento do agente no corpo da requisição: persona, ferramentas, instruções operacionais. É como entregar um script executável via POST, usando seu próprio servidor de IA como máquina virtual.

O que mudou

A CEVIU já havia alertado em 16/06 sobre uma cadeia de vulnerabilidades críticas no LiteLLM que permitia controle total do servidor. Agora, em julho/2026, confirmamos que essa superfície está sendo explorada ativamente, não apenas por testes de conceito, mas em campanhas coordenadas com objetivos reais: engenharia reversa de aplicações web, varreduras ofensivas contra alvos específicos (como a casa de leilões francesa) e até pentest autônomo com agentes que ignoram limites éticos. O que era teórico virou operacional: os atacantes não estão mais tentando entrar no sistema, estão usando seu endpoint como infraestrutura própria.

Por que isso importa

Empresas que expõem endpoints de inferência de IA na internet estão entregando poder de processamento, memória e rede para adversários, sem perceber. Um único endpoint de LiteLLM ou Ollama mal configurado pode ser usado para escanear redes, gerar phishing em larga escala, extrair dados de APIs internas ou até minerar criptomoedas. Isso não é 'uso indevido': é usurpação de recursos com impacto direto em custos operacionais, conformidade (LGPD, Lei Geral de Proteção de Dados) e risco reputacional. CISOs precisam tratar esses endpoints como se fossem servidores SSH expostos, porque, tecnicamente, são.

Linha do tempo

  1. Vulnerabilidades no OpenClaw permitem sequestro de agentes locais via WebSocket inseguro

  2. CEVIU alerta que agentes autônomos exigem amplo acesso ao sistema, aumentando riscos de exposição

  3. Falhas críticas em LangChain e LangGraph expõem segredos de ambiente e históricos de conversas

  4. Vulnerabilidade de path traversal no Langflow é explorada ativamente em ataques

  5. Cadeia de vulnerabilidades no LiteLLM permite escalonamento de privilégios e execução remota de código

  6. Ataques reais confirmados: invasores usam endpoints expostos de LiteLLM e Ollama para operações ofensivas autônomas

Perguntas frequentes

LiteLLM é um modelo de IA ou algo diferente?

LiteLLM não é um modelo. É um proxy de roteamento de LLM, uma camada de software que normaliza chamadas entre aplicações e diversos modelos (locais como Ollama ou nuvem como OpenAI). Sua função é simplificar integrações, mas sua exposição cria um ponto único de falha para múltiplos modelos.

Por que usar um endpoint de IA exposto é pior do que expor um banco de dados?

Um endpoint de IA exposto permite não só ler dados, mas executar lógica arbitrária no servidor, incluindo chamadas a outras APIs, manipulação de arquivos e uso de recursos computacionais. Atacantes usam isso para rodar ferramentas de pentest, varrer redes ou até implantar malware, tudo sob o disfarce de requisições legítimas de inferência.

O que significa 'autenticação opt-in' no LiteLLM?

Significa que a proteção por chave de API não é ativada por padrão. O administrador precisa configurar manualmente uma master key. Sem ela, qualquer um que descubra o endpoint pode enviar prompts e obter respostas, exatamente como aconteceu nos ataques observados por Zenity.

Como saber se meu LiteLLM está exposto?

Verifique se o serviço está escutando em 0.0.0.0:4000 (em vez de 127.0.0.1:4000) e se há regras de firewall bloqueando acesso externo à porta 4000. Também busque logs por requisições com corpos acima de 50 KB, presença de palavras-chave como 'tool', 'function_call', ou 'persona', e IPs desconhecidos acessando /v1/responses.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser