⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
No início deste mês, falei no Gartner Security & Risk Management Summit sobre um ponto cego que a maioria dos programas de segurança ainda não leva em conta: como os invasores estão contornando os programas de segurança de IA usando infraestrutura legada para sequestrar agentes de IA.
A adoção da IA está avançando mais rápido do que os programas de segurança podem imaginar. Aproximadamente 71% das organizações estão testando agentes de IA em seus aplicativos empresariais e 31% já os migraram para fluxos de trabalho de produção.
Por esse motivo, as organizações estão legitimamente investindo recursos na proteção de cargas de trabalho de IA contra envenenamento de modelos, injeção imediata, vazamento de dados e outras ameaças emergentes. No entanto, esse foco perde tudo que está abaixo da camada de IA. Porque um servidor sem patch, uma permissão do Active Directory configurada incorretamente ou uma credencial armazenada em cache na máquina de um desenvolvedor são exposições que fornecem aos invasores uma rota direta para tudo de que seus agentes de IA dependem: bases de conhecimento, armazenamento em nuvem, funções Lambda, integrações SaaS e as credenciais que os conectam.
Isso significa que os agentes da ameaça não precisam realmente atacar sua IA de frente – eles só precisam alcançar aquilo a que ela está conectada. Neste artigo, explicarei como a infraestrutura legada se torna o caminho de ataque para ambientes de agentes de IA e o que as equipes de segurança podem fazer para bloquear esses caminhos.
Agentes de IA usam o que herdam
Apesar de sua novidade e poder, de certa forma, os agentes de IA operam como outros ativos em seu ambiente. Eles autenticam por meio de provedores de identidade existentes, armazenam dados em buckets de nuvem existentes, executam tarefas por meio de funções Lambda existentes e herdam permissões de funções IAM existentes. Cada uma dessas dependências carrega qualquer dívida de segurança que a organização tinha antes do início da implantação da IA.
Além do mais, a maioria das organizações está inadvertidamente agravando essa dívida. De acordo com a Infosecurity Magazine, 70% das organizações concedem aos seus sistemas de IA acesso mais privilegiado do que um ser humano na mesma função. Não é de surpreender que isso tenha um preço doloroso. As organizações com IA com privilégios excessivos relataram uma taxa de incidentes de 76%, em comparação com apenas 17% para aquelas que impõem privilégios mínimos.
Todas essas conexões – provedores de identidade, buckets de nuvem, funções Lambda, funções IAM – são executadas por meio da infraestrutura que suas equipes gerenciam há anos: Active Directory, Cloud IAM, contas de serviço, credenciais armazenadas. No entanto, nada disso foi projetado tendo em mente os agentes de IA, e a maior parte foi provisionada muito antes de o primeiro agente entrar em produção. O resultado é que um invasor que consegue passar por qualquer uma dessas camadas não precisa tocar na IA. As próprias permissões do agente fazem o trabalho para eles.
Como um CVE de 2025 sequestra um agente de IA em 2026
O diagrama abaixo mostra uma arquitetura típica de agente de IA empresarial. Uma equipe de sucesso do cliente usa um Co-Pilot com tecnologia de IA, hospedado no AWS Bedrock, para consultar dados de clientes exportados do Salesforce para um bucket S3. O Co-Pilot executa tarefas por meio de funções Lambda e integra-se a aplicativos de negócios. John, um desenvolvedor, cria e mantém o agente. Os usuários de toda a organização interagem com ele diariamente.
Agora, aqui está o que acontece quando um invasor encontra uma maneira de entrar. O diagrama a seguir mostra um caminho de ataque que minha equipe modelou em um ambiente corporativo real. Nenhuma dessas exposições é exótica – elas existem, em alguma combinação, na maioria das redes empresariais atualmente. O que os torna perigosos é a forma como eles se conectam. Veja como o ataque se desenvolveu, etapa por etapa.
Estágio 1: Um bucket S3 se torna um ativo crítico. Para alimentar o Copiloto CSM, a equipe exportou dados do Salesforce para um bucket S3. Essa exportação transformou o balde em um alvo de alto valor, contendo registros confidenciais de clientes. Vários usuários na conta da AWS receberam acesso de leitura excessivamente amplo aos buckets de produção do S3, incluindo John, o desenvolvedor copiloto, que nunca precisou de acesso aos dados de produção. Por si só, esta é uma simples configuração incorreta de permissões.
Estágio 2: Um servidor sem patch no perímetro. Um servidor externo executa o Apache Tomcat. Esse servidor está exposto ao CVE-2025-24813 – uma falha de execução remota de código divulgada em março de 2025 e adicionada ao catálogo de vulnerabilidades exploradas conhecidas da CISA no mesmo mês. Nunca foi corrigido. Como o servidor fica no ambiente corporativo e está associado ao Active Directory, um invasor que explora a vulnerabilidade pode despejar credenciais armazenadas em cache da memória do servidor e comprometer uma conta de usuário do AD. Isoladamente, esta é uma vulnerabilidade conhecida em um único servidor – séria, mas não crítica.
Estágio 3: A configuração incorreta do Active Directory permite movimentação lateral. Essa conta do AD comprometida pode abusar de uma configuração incorreta de delegação restrita baseada em recursos para se passar por John e acessar sua estação de trabalho. John usa AWS CLI para gerenciar o Co-Pilot
A adoção da IA está avançando mais rápido do que os programas de segurança podem imaginar. Aproximadamente 71% das organizações estão testando agentes de IA em seus aplicativos empresariais e 31% já os migraram para fluxos de trabalho de produção.
Por esse motivo, as organizações estão legitimamente investindo recursos na proteção de cargas de trabalho de IA contra envenenamento de modelos, injeção imediata, vazamento de dados e outras ameaças emergentes. No entanto, esse foco perde tudo que está abaixo da camada de IA. Porque um servidor sem patch, uma permissão do Active Directory configurada incorretamente ou uma credencial armazenada em cache na máquina de um desenvolvedor são exposições que fornecem aos invasores uma rota direta para tudo de que seus agentes de IA dependem: bases de conhecimento, armazenamento em nuvem, funções Lambda, integrações SaaS e as credenciais que os conectam.
Isso significa que os agentes da ameaça não precisam realmente atacar sua IA de frente – eles só precisam alcançar aquilo a que ela está conectada. Neste artigo, explicarei como a infraestrutura legada se torna o caminho de ataque para ambientes de agentes de IA e o que as equipes de segurança podem fazer para bloquear esses caminhos.
Agentes de IA usam o que herdam
Apesar de sua novidade e poder, de certa forma, os agentes de IA operam como outros ativos em seu ambiente. Eles autenticam por meio de provedores de identidade existentes, armazenam dados em buckets de nuvem existentes, executam tarefas por meio de funções Lambda existentes e herdam permissões de funções IAM existentes. Cada uma dessas dependências carrega qualquer dívida de segurança que a organização tinha antes do início da implantação da IA.
Além do mais, a maioria das organizações está inadvertidamente agravando essa dívida. De acordo com a Infosecurity Magazine, 70% das organizações concedem aos seus sistemas de IA acesso mais privilegiado do que um ser humano na mesma função. Não é de surpreender que isso tenha um preço doloroso. As organizações com IA com privilégios excessivos relataram uma taxa de incidentes de 76%, em comparação com apenas 17% para aquelas que impõem privilégios mínimos.
Todas essas conexões – provedores de identidade, buckets de nuvem, funções Lambda, funções IAM – são executadas por meio da infraestrutura que suas equipes gerenciam há anos: Active Directory, Cloud IAM, contas de serviço, credenciais armazenadas. No entanto, nada disso foi projetado tendo em mente os agentes de IA, e a maior parte foi provisionada muito antes de o primeiro agente entrar em produção. O resultado é que um invasor que consegue passar por qualquer uma dessas camadas não precisa tocar na IA. As próprias permissões do agente fazem o trabalho para eles.
Como um CVE de 2025 sequestra um agente de IA em 2026
O diagrama abaixo mostra uma arquitetura típica de agente de IA empresarial. Uma equipe de sucesso do cliente usa um Co-Pilot com tecnologia de IA, hospedado no AWS Bedrock, para consultar dados de clientes exportados do Salesforce para um bucket S3. O Co-Pilot executa tarefas por meio de funções Lambda e integra-se a aplicativos de negócios. John, um desenvolvedor, cria e mantém o agente. Os usuários de toda a organização interagem com ele diariamente.
Agora, aqui está o que acontece quando um invasor encontra uma maneira de entrar. O diagrama a seguir mostra um caminho de ataque que minha equipe modelou em um ambiente corporativo real. Nenhuma dessas exposições é exótica – elas existem, em alguma combinação, na maioria das redes empresariais atualmente. O que os torna perigosos é a forma como eles se conectam. Veja como o ataque se desenvolveu, etapa por etapa.
Estágio 1: Um bucket S3 se torna um ativo crítico. Para alimentar o Copiloto CSM, a equipe exportou dados do Salesforce para um bucket S3. Essa exportação transformou o balde em um alvo de alto valor, contendo registros confidenciais de clientes. Vários usuários na conta da AWS receberam acesso de leitura excessivamente amplo aos buckets de produção do S3, incluindo John, o desenvolvedor copiloto, que nunca precisou de acesso aos dados de produção. Por si só, esta é uma simples configuração incorreta de permissões.
Estágio 2: Um servidor sem patch no perímetro. Um servidor externo executa o Apache Tomcat. Esse servidor está exposto ao CVE-2025-24813 – uma falha de execução remota de código divulgada em março de 2025 e adicionada ao catálogo de vulnerabilidades exploradas conhecidas da CISA no mesmo mês. Nunca foi corrigido. Como o servidor fica no ambiente corporativo e está associado ao Active Directory, um invasor que explora a vulnerabilidade pode despejar credenciais armazenadas em cache da memória do servidor e comprometer uma conta de usuário do AD. Isoladamente, esta é uma vulnerabilidade conhecida em um único servidor – séria, mas não crítica.
Estágio 3: A configuração incorreta do Active Directory permite movimentação lateral. Essa conta do AD comprometida pode abusar de uma configuração incorreta de delegação restrita baseada em recursos para se passar por John e acessar sua estação de trabalho. John usa AWS CLI para gerenciar o Co-Pilot
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #impeça #que #sua #infraestrutura #legada #sequestre #seus #agentes #de #ia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário