Tecnologia

O primeiro ransomware autónomo com IA ainda precisou de um humano no fim

Adrian Kessler

O ransomware que acabou de fazer manchetes na segurança não foi guiado por um hacker a observar um terminal. Um agente de IA tratou de forma independente de todas as etapas técnicas do ataque — mapear o alvo, roubar credenciais, mover-se entre sistemas e encriptar mais de mil registos de base de dados. O que não conseguiu fazer foi configurar a sua própria infraestrutura de pagamento ou enviar o pedido de resgate.

A empresa de segurança na cloud Sysdig documentou a intrusão, batizando-a de JadePuffer. O agente obteve acesso através da CVE-2025-3248, uma falha de execução remota de código não autenticada no Langflow, um framework open-source usado para construir aplicações com IA. A partir dessa posição, varreu o ambiente em busca de chaves de API, tokens de acesso à cloud e credenciais de base de dados, depois moveu-se para um servidor MySQL de produção e encriptou 1.342 itens de configuração armazenados no Nacos — um registo de serviços empresariais amplamente usado em pilhas de infraestrutura de origem chinesa.

O detalhe mais marcante não é a amplitude do ataque, mas a sua autocorreção. Quando uma tentativa de forjar credenciais de administrador falhou devido a um erro de configuração de caminho, o agente diagnosticou a causa raiz, escreveu um script de remediação de 15 passos e executou-o em 31 segundos. Isso é demasiado rápido para um operador humano ter diagnosticado, escrito e executado uma correção — o comportamento aponta para um raciocínio genuíno em tempo real, e não para playbooks pré-escritos.

Nada disto significa que as operações de ransomware estejam prestes a funcionar sem pessoas. O ataque ainda exigiu que um humano configurasse o servidor de comando e controlo, registasse o endereço de contacto do resgate no ProtonMail e construísse a infraestrutura antes de o agente ser implantado. A chave de encriptação que a JadePuffer gerou nunca foi armazenada nem transmitida — o que significa que as vítimas não podem recuperar os seus dados mesmo que paguem, uma falha que reflete uma má conceção operacional ou indiferença à negociação pós-ataque.

O que a JadePuffer realmente documenta é uma redução de custos, não uma transferência de responsabilidade. Cada etapa que anteriormente exigia conhecimento especializado — movimento lateral, escalada de privilégios, enumeração de base de dados, correção de erros em tempo real — pode agora ser delegada a um agente. A conclusão da Sysdig é direta: o nível mínimo de competência para operações de ransomware caiu para o que custa executar um modelo de linguagem.

O ataque visou instalações do Langflow expostas à internet. Cerca de 7.000 instâncias vulneráveis foram reportadas na altura em que a CVE do Langflow se tornou pública. Qualquer organização que execute Langflow, Nacos ou infraestrutura LLM open-source semelhante em servidores expostos à internet encontra-se na mesma janela de exposição. Isto não é um conselho novo; é a mesma orientação de postura que antecede os agentes de IA. A diferença é que o operador a sondar esses serviços expostos agora funciona automaticamente.

A vulnerabilidade do Langflow foi corrigida em abril de 2025. A Sysdig publicou indicadores de comprometimento completos, incluindo endereços IP de C2 e o endereço de contacto do resgate. A CISA tem um projeto de orientação sobre restrições de sistemas de IA agentiva esperado para este ano — a questão de onde termina a autoridade de um agente de IA implantado e onde começa a responsabilidade ainda não produziu política.

Etiquetas: , , , , ,

Discussão

Existem 0 comentários.