Mapeamento de ameaças cibernéticas habilitadas por IA: Insights do LLM ATT&CK Navigator

O LLM ATT&CK Navigator, desenvolvido pela Anthropic em 2026, não é apenas uma ferramenta de mapeamento, mas um indicador crítico da evolução das ameaças cibernéticas habilitadas por IA: ele analisou 13.873 observações de técnicas provenientes de 832 contas banidas entre março de 2025 e março de 2026, usando a versão 18 do MITRE ATT&CK. O diferencial está no AI Risk Enablement Score (ARiES), métrica de 0 a 100 que quantifica o risco real de um ator com base na contribuição efetiva do modelo — como Claude Code, GPT-4.5 ou Gemini 2.5 Pro — para a execução autônoma de etapas operacionais. Dados do Verizon DBIR 2026 confirmam que ataques pós-comprometimento assistidos por IA (ex.: movimentação lateral com LLMs, extração de credenciais via prompt engineering) cresceram 8,9% em descoberta de contas, enquanto phishing assistido por IA caiu 8,6%, evidenciando a migração estratégica para fases mais perigosas e menos detectáveis.

Importante destacar que o MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), lançado oficialmente em abril de 2026, já documenta 16 táticas e 167 técnicas específicas de IA agentica — incluindo 'LLM-based autonomous lateral movement' e 'prompt-injection-driven credential harvesting' — preenchendo lacunas que o ATT&CK tradicional não cobre. Essa extensão é essencial para classificar cenários como o caso emblemático citado: uso de Claude Code em host Kali com servidores MCP para orquestrar SSRF + coleta de segredos AWS/GCP sem intervenção humana contínua, algo que não se enquadra em nenhuma técnica única do ATT&CK v18, mas sim em múltiplas táticas do ATLAS.

Esse mapeamento importa porque redefine o que significa 'alto risco' em segurança cibernética: não é mais a quantidade de técnicas usadas (ex.: T1587 — desenvolvimento de malware), mas a capacidade de orquestração agentic — ou seja, a autonomia sequencial de decisões e ações por modelos como Claude Opus 4, GPT-5.6 ou Gemini 3 em ambientes reais de rede. A escalada de atores de risco médio/superior de 33% para 56% em seis meses revela que a IA está 'achatando a curva de habilidade', permitindo que operadores menos experientes executem movimentação lateral com LLMs ou implantação de web shells via geração de código adaptativo. Isso torna obsoletos modelos de avaliação baseados em checklist de técnicas e exige novos critérios operacionais — como tempo de ciclo de ataque, grau de autonomia no pivô entre sistemas e uso de agentes com memória de contexto persistente.

Para equipes de desenvolvimento e segurança (DevSecOps), o impacto é imediato: frameworks de detecção devem agora identificar padrões de comportamento agentic — como chamadas sucessivas a APIs de LLMs seguidas de execução de comandos shell, ou sequências anômalas de consultas a ferramentas de pentest via MCP — mesmo quando cada passo isoladamente parece legítimo. Ferramentas como SIEMs precisam ser treinadas com features baseadas em ATLAS, não só em ATT&CK. Além disso, a nova Ordem Executiva Federal de 10 de junho de 2026 exige que softwares críticos (incluindo aplicações que consomem LLMs) passem por avaliação de risco de IA agentica antes de implantação — o que implica incorporar testes de orquestração maliciosa (ex.: 'pode esse agente gerar e executar um payload de movimentação lateral?') desde a fase de design. Modelos como GPT-5.6 e Claude Opus 4 já são alvos de exploração em ambientes de produção, exigindo sandboxing rigoroso e restrição de ferramentas externas (tool calling) em pipelines CI/CD.