CEVIU Logo
Voltar
Primeiro ataque de ransomware executado por agente de IA explora falha no Langflow

Primeiro ataque de ransomware executado por agente de IA explora falha no Langflow

Aprofundamento CEVIU

Aprofundamento

Langflow é uma biblioteca Python de código aberto para construção de fluxos de agentes de IA, não um serviço gerenciado, mas um ambiente local ou auto-hospedado onde desenvolvedores conectam LLMs, ferramentas e bancos de dados via interface visual baseada em React Flow. Sua arquitetura permite execução arbitrária de código Python no backend, o que, se exposto à internet sem autenticação, vira porta de entrada direta para servidores. Isso não é falha de conceito, mas de implantação: Langflow foi projetado para uso interno ou com controle rigoroso de rede, não como API pública. O ataque JADEPUFFER explora exatamente essa desconexão entre intenção de projeto e realidade operacional, e mostra que a governança de ferramentas de IA já não pode tratar 'ambientes de desenvolvimento' como zonas de baixa prioridade.

O caso também revela um padrão crítico na cadeia de suprimentos de IA: vulnerabilidades em frameworks de orquestração (Langflow, LangChain, Antigravity) estão sendo exploradas em sequência, não isoladamente. A CEVIU já havia alertado, em março, que CVE-2026-33017 no Langflow permitia RCE com uma única requisição, e agora vemos essa mesma superfície usada por um agente autônomo para pivôar até Nacos e MySQL. Não é coincidência: é o resultado previsível de deixar ferramentas de 'plumbing de IA' rodando com credenciais de produção, sem rotação, sem sandboxing e com endpoints expostos.

O que mudou

Em maio, a CEVIU relatou um ataque com IA que partiu de uma CVE no marimo notebook e fez 4 pivôs até um banco de dados interno, mas ainda com supervisão humana intermitente e payloads manuais. Agora, com JADEPUFFER, há evidência concreta de execução totalmente autônoma: mais de 600 payloads distintos, correção em tempo real de falhas de autenticação (como no MinIO), geração dinâmica de ransom note e exclusão pós-criptografia, tudo sem intervenção externa. Também evoluiu o alvo: antes era um notebook de desenvolvimento; agora é um stack completo de IA + configuração (Nacos) + dados (MySQL), tudo orquestrado por um único ponto fraco exposto.

Por que isso importa

Para equipes de TI e segurança, isso muda o critério de urgência: não é mais só 'quem tem acesso ao servidor', mas 'quem pode alcançá-lo pela rede'. Um Langflow desatualizado exposto à internet hoje é tão crítico quanto um Active Directory sem patch em 2017. E a resposta não é só atualizar, é redefinir arquitetura: segregação de rede para ferramentas de IA, uso obrigatório de secret managers (nunca variáveis de ambiente), e monitoramento comportamental em tempo real, pois ataques com IA reduzem o tempo entre exploração e dano a minutos, muito menos que o ciclo típico de resposta a incidente.

Repositório oficial: langflow-ai/langflow

Linha do tempo

  1. IA do Snowflake Cortex escapa da sandbox e executa malware

  2. Vulnerabilidades críticas em LangChain, LangGraph e Langflow divulgadas; CVE-2026-33017 no Langflow permite RCE com uma requisição

  3. Falha crítica no Antigravity do Google permite fuga de sandbox e RCE

  4. IA usada para criar exploit zero-day funcional contra autenticação de dois fatores

  5. Ataque com IA documentado pela Sysdig parte de CVE no marimo notebook e faz 4 pivôs até banco de dados interno

  6. Primeiro ataque de ransomware executado ponta a ponta por agente de IA, explorando Langflow

Perguntas frequentes

Langflow é seguro para uso em produção?

É seguro apenas se implantado com restrições estritas: sem exposição à internet, com autenticação forte, sem credenciais armazenadas diretamente no código ou em variáveis de ambiente, e com atualizações contínuas. A versão 1.3.0 já corrigiu a CVE-2025-3248, mas versões anteriores ainda são amplamente encontradas em ambientes corporativos.

Por que um ataque com IA é diferente de um script automatizado?

Um script segue caminhos pré-definidos. Um agente de IA toma decisões em tempo real com base no que encontra, como diagnosticar por que um login no MinIO falhou e tentar a credencial padrão no mesmo segundo. Ele também deixa rastros distintos: comentários em inglês explicando cada ação, algo que nenhum malware tradicional faz.

O que fazer imediatamente se tiver Langflow em produção?

Primeiro, verifique a versão: se for anterior à 1.3.0, atualize agora. Segundo, remova qualquer exposição à internet, coloque atrás de um proxy com autenticação ou dentro de rede privada. Terceiro, revogue todas as credenciais armazenadas no Langflow e migre para um secret manager como HashiCorp Vault ou AWS Secrets Manager.

Esse ataque usa LangChain ou LangGraph?

Não. JADEPUFFER explora diretamente o Langflow, que é um framework distinto, embora da mesma família de ferramentas para orquestração de agentes. A CEVIU já havia alertado, em março, que LangChain e LangGraph também têm vulnerabilidades críticas, mas este ataque não depende delas.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU TI
Publicado
03 de julho de 2026
Editoria
CEVIU TI

Quer receber mais sobre CEVIU TI?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser