CEVIU Logo
Voltar

Seu Copilot de IA é a Nova Superfície de Ataque

Aprofundamento CEVIU

Aprofundamento

Os quatro incidentes de março de 2026 não são falhas isoladas, são sintomas de um defeito arquitetônico profundo: agentes de IA operam com privilégios humanos, mas sem julgamento humano. Eles processam instruções e dados no mesmo canal, como prevê a OWASP LLM01:2025, o que torna a injeção de prompt indireta inevitável quando lidam com fontes não confiáveis (e-mails, PDFs, convites de reunião, páginas web). O EchoLeak (CVE-2025-32711) já havia mostrado em 2025 que resumir um e-mail malicioso no Copilot do Microsoft 365 era suficiente para exfiltrar documentos sensíveis. Em 2026, o ataque evoluiu: agora basta uma descrição de pull request contaminada (CVE-2025-53773) para executar código remoto com privilégios do GitHub Copilot. A ameaça não está no modelo, está na forma como ele é integrado, com acesso irrestrito a APIs, arquivos locais, câmera e credenciais.

O risco se amplifica porque 83% das empresas estão implantando agentes de IA, mas 71% delas concedem permissões mais amplas a esses agentes do que a funcionários reais. Isso transforma cada Copilot em uma identidade de primeira classe não auditada, e em um vetor de 'alucinação em cascata', onde uma única entrada envenenada desencadeia cadeias de ações maliciosas sem intervenção humana. A 'Shadow AI' piora tudo: 61% das organizações já enfrentam uso não autorizado de ferramentas como Perplexity Comet ou Gemini, muitas vezes com acesso corporativo via SSO, sem controle de escopo nem registro de ações.

Por que isso importa

Agentes de IA não são assistentes, são novos endpoints de rede com superpoderes e sem freios. Um único documento PDF com texto oculto pode roubar chaves de API, excluir bancos de dados ou redirecionar pagamentos. O Gartner estima que até o fim de 2026, 40% das aplicações empresariais terão agentes integrados, mas menos de 30% das equipes de segurança sabem auditar prompts, validar saídas ou aplicar o princípio do menor privilégio em workflows agentic. Isso cria um descompasso crítico: enquanto as equipes de TI aceleram a automação, as de segurança continuam tratando IA como um plugin, não como uma nova camada de infraestrutura crítica, sujeita a RCE, injeção SQL e exfiltração zero-click.

Linha do tempo

  1. Divulgação do EchoLeak (CVE-2025-32711), vulnerabilidade zero-click no Microsoft 365 Copilot com CVSS 9.3

  2. Identificação da CVE-2025-53773, que permitia execução remota de código via GitHub Copilot usando descrições de pull requests

  3. Quatro incidentes simultâneos com Excel Copilot, Chrome Gemini, Microsoft Copilot Personal e Perplexity Comet revelam falha estrutural comum em agentes de IA

Perguntas frequentes

O que é injeção de prompt indireta e por que ela é mais perigosa que a direta?

Na injeção indireta, o comando malicioso não é digitado pelo atacante diretamente no chat. Ele é escondido em um documento, e-mail ou página da web que o agente de IA processa automaticamente. O usuário não vê nada suspeito, mas o modelo executa a ordem, como enviar dados para um servidor externo. É mais difícil de detectar porque não aparece nos logs de interação humana.

Por que limitar o acesso de rede outbound é uma medida eficaz contra esses ataques?

A maioria dos ataques descritos (exfiltração zero-click, sequestro de sessão) depende que o agente envie dados para servidores controlados pelo atacante. Restringir o tráfego egresso por aplicação, não apenas por IP ou domínio, mas por contexto de tarefa, bloqueia a exfiltração mesmo se o agente for enganado. É uma barreira física, não lógica.

Como aplicar o princípio do menor privilégio em um agente de IA?

Não basta dar 'acesso ao SharePoint'. Defina escopos granulares: leitura somente em pastas específicas, sem escrita; nenhuma permissão para acessar credenciais do sistema; bloqueio de acesso à câmera/microfone em workflows de análise de texto. Cada ação deve exigir aprovação explícita, e os agentes devem ser tratados como contas de serviço, com políticas de acesso próprias, não como extensões do usuário.

O que é 'Shadow AI' e por que ela agrava o risco de injeção de prompt?

'Shadow AI' é o uso não autorizado de ferramentas como Perplexity Comet ou Gemini por funcionários, muitas vezes com login corporativo. Como essas ferramentas não passam por auditoria de segurança nem têm políticas de escopo definidas, elas herdam permissões excessivas do SSO e processam documentos internos sem filtros, criando portas abertas para injeção indireta dentro da própria rede.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
12 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser