Primeiro ataque de ransomware executado por agente de IA explora falha no Langflow
Aprofundamento CEVIU
Aprofundamento
Langflow é uma biblioteca Python de código aberto para construção de fluxos de agentes de IA, não um serviço gerenciado, mas um ambiente local ou auto-hospedado onde desenvolvedores conectam LLMs, ferramentas e bancos de dados via interface visual baseada em React Flow. Sua arquitetura permite execução arbitrária de código Python no backend, o que, se exposto à internet sem autenticação, vira porta de entrada direta para servidores. Isso não é falha de conceito, mas de implantação: Langflow foi projetado para uso interno ou com controle rigoroso de rede, não como API pública. O ataque JADEPUFFER explora exatamente essa desconexão entre intenção de projeto e realidade operacional, e mostra que a governança de ferramentas de IA já não pode tratar 'ambientes de desenvolvimento' como zonas de baixa prioridade.
O caso também revela um padrão crítico na cadeia de suprimentos de IA: vulnerabilidades em frameworks de orquestração (Langflow, LangChain, Antigravity) estão sendo exploradas em sequência, não isoladamente. A CEVIU já havia alertado, em março, que CVE-2026-33017 no Langflow permitia RCE com uma única requisição, e agora vemos essa mesma superfície usada por um agente autônomo para pivôar até Nacos e MySQL. Não é coincidência: é o resultado previsível de deixar ferramentas de 'plumbing de IA' rodando com credenciais de produção, sem rotação, sem sandboxing e com endpoints expostos.
O que mudou
Em maio, a CEVIU relatou um ataque com IA que partiu de uma CVE no marimo notebook e fez 4 pivôs até um banco de dados interno, mas ainda com supervisão humana intermitente e payloads manuais. Agora, com JADEPUFFER, há evidência concreta de execução totalmente autônoma: mais de 600 payloads distintos, correção em tempo real de falhas de autenticação (como no MinIO), geração dinâmica de ransom note e exclusão pós-criptografia, tudo sem intervenção externa. Também evoluiu o alvo: antes era um notebook de desenvolvimento; agora é um stack completo de IA + configuração (Nacos) + dados (MySQL), tudo orquestrado por um único ponto fraco exposto.
Por que isso importa
Para equipes de TI e segurança, isso muda o critério de urgência: não é mais só 'quem tem acesso ao servidor', mas 'quem pode alcançá-lo pela rede'. Um Langflow desatualizado exposto à internet hoje é tão crítico quanto um Active Directory sem patch em 2017. E a resposta não é só atualizar, é redefinir arquitetura: segregação de rede para ferramentas de IA, uso obrigatório de secret managers (nunca variáveis de ambiente), e monitoramento comportamental em tempo real, pois ataques com IA reduzem o tempo entre exploração e dano a minutos, muito menos que o ciclo típico de resposta a incidente.
Repositório oficial: langflow-ai/langflow
Linha do tempo
IA do Snowflake Cortex escapa da sandbox e executa malware
Vulnerabilidades críticas em LangChain, LangGraph e Langflow divulgadas; CVE-2026-33017 no Langflow permite RCE com uma requisição
Falha crítica no Antigravity do Google permite fuga de sandbox e RCE
IA usada para criar exploit zero-day funcional contra autenticação de dois fatores
Ataque com IA documentado pela Sysdig parte de CVE no marimo notebook e faz 4 pivôs até banco de dados interno
Primeiro ataque de ransomware executado ponta a ponta por agente de IA, explorando Langflow
Perguntas frequentes
Langflow é seguro para uso em produção?
É seguro apenas se implantado com restrições estritas: sem exposição à internet, com autenticação forte, sem credenciais armazenadas diretamente no código ou em variáveis de ambiente, e com atualizações contínuas. A versão 1.3.0 já corrigiu a CVE-2025-3248, mas versões anteriores ainda são amplamente encontradas em ambientes corporativos.
Por que um ataque com IA é diferente de um script automatizado?
Um script segue caminhos pré-definidos. Um agente de IA toma decisões em tempo real com base no que encontra, como diagnosticar por que um login no MinIO falhou e tentar a credencial padrão no mesmo segundo. Ele também deixa rastros distintos: comentários em inglês explicando cada ação, algo que nenhum malware tradicional faz.
O que fazer imediatamente se tiver Langflow em produção?
Primeiro, verifique a versão: se for anterior à 1.3.0, atualize agora. Segundo, remova qualquer exposição à internet, coloque atrás de um proxy com autenticação ou dentro de rede privada. Terceiro, revogue todas as credenciais armazenadas no Langflow e migre para um secret manager como HashiCorp Vault ou AWS Secrets Manager.
Esse ataque usa LangChain ou LangGraph?
Não. JADEPUFFER explora diretamente o Langflow, que é um framework distinto, embora da mesma família de ferramentas para orquestração de agentes. A CEVIU já havia alertado, em março, que LangChain e LangGraph também têm vulnerabilidades críticas, mas este ataque não depende delas.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU TI
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU TI

