CEVIU Logo
Voltar
🛡️CEVIU TI

Protegendo agentes de IA contra prompt injection via privilégio mínimo e mapeamento source-and-sink

Aprofundamento CEVIU

Aprofundamento

A injeção de prompt deixou de ser um risco teórico: é uma ameaça operacional com CVSS acima de 9,6 em sistemas reais da Microsoft, GitHub e Cursor IDE, e já foi usada em cadeias de suprimentos como o Cline/OpenClaw em fevereiro de 2026. O problema não está no modelo, está na arquitetura de execução. LLMs não distinguem instruções de desenvolvedores de conteúdo externo quando ambos estão na mesma janela de contexto, tornando defesas puramente baseadas em prompt engineering ineficazes. A única estratégia viável é defesa em profundidade, com privilégio mínimo como pilar central: cada agente precisa de identidade própria, credenciais rotativas com escopo estrito e acesso granular a ferramentas, não como um recurso adicional, mas como requisito de governança de infraestrutura.

O mapeamento source-and-sink, introduzido pela Corgea em junho de 2025, é hoje a única técnica capaz de rastrear dados não confiáveis do ponto de entrada (ex.: um comentário malicioso em um repositório) até o sumidouro crítico (ex.: execução de código Python por um assistente IDE), algo que análise estática tradicional ignora. Isso exige integração entre segurança de aplicação e arquitetura de IA, não basta proteger o modelo, é preciso proteger o fluxo de dados entre ele, as APIs, a memória persistente e o filesystem.

Por que isso importa

Agentes de IA com acesso a navegadores e filesystems não são apenas aplicações: são novos vetores de ataque com perfil de usuário privilegiado. Um único agente comprometido pode exfiltrar dados sensíveis, deletar arquivos ou injetar código em pipelines CI/CD, sem precisar de vulnerabilidades no sistema operacional. Isso muda radicalmente os critérios de compliance: auditorias de segurança agora exigem mapeamento explícito de permissões por agente, políticas de expiração de memória e registros de todas as operações de leitura/gravação em memória persistente. Empresas que adotam IA operacional sem essas camadas estão assumindo riscos equivalentes a rodar servidores com root sem firewall.

Perguntas frequentes

Por que o privilégio mínimo é mais crítico para agentes de IA do que para aplicações tradicionais?

Porque agentes executam ações em nome do usuário com acesso direto a APIs, filesystems e navegadores. Sem restrição de escopo, um único prompt malicioso pode acionar múltiplas ferramentas simultaneamente, como ler um documento, extrair credenciais e enviá-las para um servidor externo. Em aplicações tradicionais, o escopo de permissão é definido no nível do processo; em agentes, ele deve ser aplicado dinamicamente no nível de cada chamada de ferramenta.

O que é mapeamento source-and-sink e por que ferramentas de segurança tradicionais não detectam isso?

É uma técnica que rastreia dados não confiáveis desde sua origem (source), como um comentário em um repositório ou um trecho de um PDF, até seu destino final (sink), como a execução de código ou vazamento de dados. Ferramentas estáticas falham porque não modelam o comportamento dinâmico do LLM ao fundir entradas externas com instruções internas, só soluções com capacidade de interpretação semântica avançada conseguem mapear esse fluxo.

A filtragem de saída realmente funciona? E por que não é suficiente sozinha?

Sim: testes com 15.000 ataques em abril de 2026 mostraram zero vazamentos com filtragem robusta de saída. Mas ela só atua no último estágio, se um agente já tiver acessado dados sensíveis ou executado comandos maliciosos, a filtragem não impede o dano. Por isso precisa ser combinada com privilégio mínimo, monitoramento em tempo real e validação de entrada.

Como a memória persistente dos agentes cria riscos novos de segurança?

Memória persistente pode ser envenenada por entradas maliciosas (ex.: um prompt injetado em um histórico salvo), contaminando futuras interações. Sem isolamento por usuário, TTL de expiração e validação rigorosa antes do armazenamento, essa memória vira um vetor de ataque contínuo. A atualização do SDL da Microsoft em fevereiro de 2026 tornou obrigatória a auditoria de todas as operações de leitura/gravação nessa camada.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU TI
Publicado
17 de março de 2026
Editoria
CEVIU TI

Quer receber mais sobre CEVIU TI?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser