Logotipo Nexoria
Fale conosco
nx-botton
Invasores - Securiti

A exploração Antrópica: bem-vindo à era dos ataques de agentes de IA

  • 14 min

Resumo Executivo 

A exploração bem-sucedida de um modelo de fronteira anuncia a chegada da era dos ataques de agentes de IA, provando que atores ameaçadores agora podem burlar os limites dos modelos e orquestrar ciberespionagem complexa altamente automatizada em velocidade de máquina. 

A velocidade e a escala dos ataques dos agentes de IA tornam suas defesas perimetrais atuais obsoletas. 

As organizações precisam desenvolver novas estratégias tanto para proteger os dados contra ataques de agentes de IA quanto para evitar que seus próprios agentes de IA sejam explorados. Para isso, argumentamos que as organizações devem abandonar imediatamente o modelo obsoleto de segurança “de fora para dentro” e migrar para dados e AISecurity escaláveis e integrados — construindo defesa de dentro para fora. 

Isso requer três pilares estratégicos: 

  • Inteligência de dados sensíveis - Inteligência abrangente sobre seu ativo mais precioso. 
  • Gestão de postura de segurança de dados (DSPM) sólida em todo o seu conjunto de dados corporativos 
  • Controles de execução de IA detalhados que vivem fora do modelo de IA e oferecem proteção em nível de sistema 

A Securiti é o parceiro que fornece a arquitetura fundamental — via Sensitive Data Intelligence, DataCommandGraph e Gencore Firewalls — para entregar a granularidade necessária de inteligência e controle em escala empresarial, garantindo que, à medida que sua adoção de IA cresce, suas defesas já estejam à frente da ameaça. 

O teórico tornou-se real 

Por anos, a comunidade de cibersegurança imaginou o potencial dos ataques de IA. Hipotetizamos sobre ameaças baseadas em agentes e operações de ataque ampliadas em abstrato. Pesquisadores de segurança investigaram modelos e sistemas de IA para identificar vulnerabilidades que eram principalmente exercícios acadêmicos. Mas agora, com a recente revelação da exploração bem-sucedida do Claude Code, um agente de IA popular entre desenvolvedores para construir software, podemos confirmar que a Era dos Ataques de Agentes de IA está próxima. Os exercícios acadêmicos agora são reais. Os cenários hipotéticos agora são um estudo de caso crítico para aprender. 

A exploração do Claude Code sem dúvida ficará marcada como um momento decisivo na história da tecnologia — o primeiro caso importante e documentado de um agente de ameaças que conseguiu transformar um modelo de ponta em arma para realizar um ataque em grande escala, exigindo apenas orientação humana nominal para ser executado. Alguém, possivelmente agentes estatais, conseguiu usar o Claude Code como um sistema de orquestração para automatizar quase todos os aspectos das operações de ataque. As operações foram orquestradas em várias etapas, e os invasores conseguiram traçar perfis, sondar, se infiltrar, mover-se lateralmente, escalar privilégios e extrair dados de um número não divulgado de alvos de alto valor em infraestruturas e órgãos governamentais, o que poderia levar a vulnerabilidades futuras. 

Assim que a Anthropic identificou a atividade suspeita e investigou mais a fundo, imediatamente baniu as contas responsáveis e notificou as organizações afetadas, enquanto conduzia uma análise minuciosa. Parabéns à Anthropic por lidar com o assunto de forma profissional e compartilhar suas descobertas com o público. 

Mas não há dúvida de que esse ataque muda o jogo. O que é notável sobre o ataque é que, embora agentes tenham sido utilizados para orquestrar e executar as operações de ataque, as ferramentas utilizadas pelos agentes eram simples. Isso prova que os ataques baseados em IA não precisam depender de exploits inovadores quando a velocidade e a escala avassaladoras podem ser tão eficazes. Suas camadas de defesa em profundidade não são mais suficientes — as estratégias de defesa cibernética devem evoluir. Uma abordagem fragmentada para proteger dados e componentes do sistema de IA não será mais suficiente. A IA é muito rápida e implacável, trabalhando 24 horas por dia, 7 dias por semana, com compromisso inabalável com seus objetivos. 

Na era dos ataques de agentes de IA, qualquer abordagem viável para proteger o ativo mais valioso de uma organização (os dados) deve começar com informações detalhadas sobre os ativos que você está protegendo. Outras abordagens deixarão você com pontos cegos que podem ser explorados.  Abordagens viáveis também devem ser holísticas e de âmbito empresarial — aquelas que dependem de segurança de dados isolada e ferramentas de segurança de IA criarão lacunas. 

O que aconteceu? 

Uma breve anatomia do primeiro Framework de ataque de agentes de IA 

O ataque em si foi detalhado extensivamente em outros lugares. Para maior clareza, vamos resumir brevemente aqui. 

Os invasores construíram um framework, que exigiu que eles criassem automação em torno dos servidores MCP selecionados para sua integração. Em seguida, veio a tarefa de “jailbreakar” o Claude Code. Jailbreakar é a arte de fazer com que um modelo ignore as proteções que normalmente bloqueariam resultados “ruins”. Neste caso, os invasores se passaram por uma empresa legítima de segurança cibernética realizando testes de penetração. Eles também dividiram as tarefas em subtarefas aparentemente inofensivas que, quando vistas individualmente, mascaravam com sucesso suas intenções maliciosas. Essa fase inicial representou a maior parte do esforço manual. 

Com uma estrutura de ataque construída e o Claude Code desbloqueado com sucesso, os invasores usaram o Claude Code como um mecanismo de orquestração para executar subtarefas de reconhecimento, testes de vulnerabilidade, coleta de credenciais, movimento lateral, extração de dados e documentação. Eles até fizeram com que o Attack Agent categorizasse automaticamente os dados extraídos e as credenciais de contas privilegiadas por sensibilidade e utilidade para uma transferência tranquila para outras equipes de ataque para operações sustentadas. 

Este é um modelo radicalmente diferente daquele em que um humano utiliza capacidades de geração de código para “vibe hack” ou consulta uma IA para obter aconselhamento dentro de uma campanha de ataque que, em essência, continua sendo conduzida por pessoas. A estrutura monitorava o estado de múltiplas sequências de ataque paralelas, fazia a transição entre fases com mínima intervenção humana e agregava resultados ao longo de várias sessões. Segundo a Anthropic, “o pico de atividade incluiu milhares de requisições, representando taxas sustentadas de múltiplas operações por segundo”. Vale destacar que a estrutura se apoiou em ferramentas open source padrão para varredura de redes, testes de penetração, análise de código, entre outras. Isso demonstra que a velocidade e a escala da IA podem tornar estruturas de ataque extremamente eficazes, mesmo sem a dependência de exploits inéditos. Também sugere que ataques semelhantes tendem a se proliferar. 

Por que esse ataque muda tudo 

Esse ataque torna real aquilo sobre o que os profissionais de segurança vêm alertando desde o surgimento dos agentes corporativos. A inovação técnica nos últimos anos só melhorou a capacidade dos Agentes de IA de realizar diversas tarefas, seguir instruções complexas, manter o estado em processos em múltiplas etapas e tomar decisões para alcançar um objetivo final. Enquanto isso, padrões como o MCP surgiram para padronizar como os modelos usam ferramentas. Agora, servidores MCP existem para ajudar agentes a interagir com o mundo externo, coletando informações e executando tarefas. Os agentes podem automatizar a atividade do navegador, recuperar dados, executar comandos remotos e manipular diversos sistemas. As mesmas inovações técnicas que deram maior utilidade aos Agentes os tornaram eficazes para ataques cibernéticos. 

Técnicas simples de jailbreak do Claude Code. Ferramentas simples usadas na velocidade e escala da máquina a tornaram uma arma eficaz. Atores de ameaça com recursos limitados agora poderão conduzir campanhas de ataque que antes exigiam coordenação em nível de Estado-nação. 

Esse ataque representa um ponto de inflexão. 

Os líderes cibernéticos agora precisam elaborar estratégias para proteger seus valiosos ativos contra ataques de Agentes de IA e também tomar medidas para proteger seus próprios agentes de serem transformados em armas. três coisas que não funcionarão mais na era dos ataques de agentes: 

  • Confiar em proteções de modelos internos como principal meio de proteger os próprios sistemas de IA internos, sem controles externos ao modelo. 
  • Confiar em camadas de defesa que param na criação de um perímetro ao redor dos sistemas de dados sem inteligência em nível de arquivo dos dados dentro do sistema. 
  • Confiar em modelos de segurança reativos que não reduzem proativamente a superfície de ataque nem fortalecem a postura de segurança. 

O que a Securiti poderia ter feito para reduzir o risco em um cenário semelhante? 

Nossos recursos de segurança DataAI poderiam mitigar ou impedir completamente muitos aspectos de um ataque de agente de IA como esse. 

Em um cenário em que um invasor está usando agentes de IA para comprometer seus dados, nossa plataforma ajudaria a: 

  • Obter visibilidade sobre ativos ocultos e vulneráveis. 
  • Identificar identidades humanas e de máquinas com permissões excessivas, que ampliam o alcance de ataques agentivos. 
  • Identificar combinações tóxicas de fatores que geram risco quando encontrados em conjunto, como dados sensíveis acessíveis por identidades não intencionadas ou configurações incorretas de sistemas que permitem acesso não autenticado a dados. 
  • Reduzir a superfície potencial de ataque por meio da aplicação proativa do princípio do menor privilégio e da remoção de dados desnecessários, obsoletos ou redundantes. 
  • Integrar-se a diversas ferramentas de cibersegurança para enriquecer as operações de segurança com inteligência granular sobre os dados. 

Caso um agente de IA conseguisse atravessar as camadas externas de defesa, encontraria um ambiente de menor privilégio, com muito menos oportunidades para movimentação lateral, escalonamento de privilégios ou acesso a dados sensíveis. 

Nossos protetores de IA em tempo de execução podem ajudar a proteger os próprios sistemas de IA contra exploração. Não há razão para acreditar que Claude seja menos seguro do que qualquer outro modelo de fronteira. Dito isso, há controles adicionais necessários para proteger seus sistemas de IA em tempo de execução. Em um cenário em que um atacante tentasse fazer jailbreak de um modelo que você estava usando e usar as ferramentas MCP às quais tinha acesso de forma maliciosa, nossa plataforma poderia ajudar a: 

  • Monitorar e aplicar políticas sobre todos os eventos relevantes de IA, incluindo prompts respostas e processos de recuperação de dados. 
  • Detectar e bloquear tentativas de jailbreak. 
  • Alertar rapidamente analistas de segurança em caso de tentativa de jailbreak. 
  • Prevenir o uso indevido da IA restringindo sua utilização a tópicos aprovados e alinhados ao propósito do sistema. 

A Securiti implementa proteções de tempo de execução de IA para proteger o uso de modelos de IA verificando todas as interações entre usuários, modelos e ferramentas. Um invasor teria muito mais dificuldade em fazer jailbreak em um modelo protegido pela Securiti, onde os prompts são verificados especificamente em busca de tentativas de jailbreak e qualquer atividade considerada fora do tópico ou fora da política para aquele sistema de IA específico antes que o prompt chegue ao modelo. Mesmo que um invasor conseguisse, de alguma forma, fazer jailbreak no modelo em si, ele enfrentaria outro obstáculo ao tentar usar as ferramentas MCP de forma maliciosa. 

O desafio de proteger sistemas de IA 

Securing AI Systems Requires Much More Than Model Security

O antigo paradigma de focar exclusivamente na segurança do próprio modelo de IA não funcionará à medida que as organizações experimentam e colocam em produção estruturas baseadas em agentes. A segurança tradicional centrada no modelo vem de uma era passada, quando os modelos eram restritos e bastava tratar das vulnerabilidades e do controle de acesso ao próprio modelo. Os agentes modernos, por conta de suas capacidades gerais amplas, são extremamente flexíveis, introduzem novas vulnerabilidades e podem ser manipulados de maneiras bastante sutis. 

Os líderes de segurança devem expandir o escopo da segurança focada no modelo para todo o sistema de IA. Isso não é apenas uma grande expansão no escopo da segurança, mas também implica uma mudança para a segurança e governança de dados não estruturados (até 90% dos dados organizacionais), expandindo sua base de usuários e monitorando e aplicando políticas, tudo isso enquanto novas vulnerabilidades de IA, como injeção de prompt e novas regulamentações, criam requisitos adicionais. 

Dificilmente passa uma semana sem um novo relatório demonstrando a facilidade com que os modelos de fronteira podem ser quebrados. Recentemente, pesquisadores descobriram que disfarçar seus ataques como “poesia adversária” era suficiente para contornar as proteções do modelo em 62% das vezes, e até testaram poesia adversária gerada por IA com grande sucesso. 

O desafio está em evoluir rápido o suficiente para acompanhar a adoção da IA. A segurança em IA rapidamente se torna um problema de “tudo, em todos os lugares, ao mesmo tempo”, para o qual não existe solução viável sem automação. 

O desafio de proteger dados Sensíveis contra ataques Impulsionados por IA 

O principal desafio na proteção de dados sensíveis dentro das organizações é a enorme escala e a complexidade do ambiente moderno de dados. O nível de granularidade da inteligência necessária deve ser atômico. Não é suficiente ler cabeçalhos ou metadados e classificar um arquivo de texto. Dados sensíveis podem estar profundamente ocultos em conteúdos não estruturados. O conteúdo de cada arquivo precisa ser escaneado, classificado, rotulado, contextualizado e mapeado. 

Executar esse processo com precisão, atravessando múltiplas nuvens e data centers, diferentes tipos de arquivos e diversas categorias de dados sensíveis, é uma tarefa extremamente complexa. 

A automação é necessária para fornecer a base de inteligência sobre a qual toda a segurança de DataAI irá se apoiar. 

3 pilares chaves da segurança da DataAI para a era dos ataques a agentes de IA 

A Securiti viabiliza o uso seguro de dados e IA ao operacionalizar a segurança DataAI. As organizações precisam, antes de tudo, ter um entendimento profundo e abrangente dos dados sensíveis que precisam proteger. Em seguida, devem compreender as relações complexas entre os diferentes elementos, incluindo controle de acesso e políticas. 

Por que inteligência de dados sensíveis? 

“Você não pode proteger o que não pode ver” soa verdadeiro diante desse ataque, já que a velocidade e a escala dos ataques Agentes podem explorar qualquer ponto cego. A descoberta abrangente e a visibilidade dos ativos de dados são, claro, um requisito para manter uma postura de segurança. 

No entanto, uma abordagem comum à cibersegurança é construir “camadas” de defesa em profundidade que se limitam a proteger o próprio sistema de dados, sem inteligência sobre o que esse sistema de dados pode conter. Essas abordagens externas são insuficientes nesta era, pois são essencialmente obstáculos que “ganham tempo” para responder a um ataque humano. Devido à falta de inteligência, essa abordagem também trata todos os dados igualmente. Os ataques de agentes de IA não funcionam dessa forma — eles priorizam dados confidenciais de alto valor e operam na velocidade da máquina. 

Por fim, ferramentas de Data Loss Prevention (DLP), que tradicionalmente constituem um pilar central dessas camadas de defesa, falham na era da IA. Elas não oferecem proteção contra prompt injection ou tentativas de jailbreak e utilizam definições genéricas do que constitui dado sensível, como PII, com pouca flexibilidade para se adaptar às particularidades dos dados de cada organização. Ataques por agentes de IA conseguem facilmente localizar dados sensíveis não cobertos por políticas de DLP, ofuscar informações ou utilizar canais não tradicionais de exfiltração que não são contemplados por essas ferramentas. 

Com ajustes orientados por IA, as equipes podem aprimorar facilmente a eficácia da classificação sem a necessidade de reescaneamento dos dados, eliminando meses de ciclos iterativos e esforços manuais de ajuste, além de reduzir drasticamente falsos positivos e falsos negativos. Isso acelera o tempo até a obtenção de insights e fornece às equipes de segurança uma base confiável e rica em contexto para determinar quais conjuntos de dados são seguros para cargas de trabalho de IA e quais exigem controles adicionais. 

O resultado: um contexto de dados confidenciais rápido, confiável e escalável que permite às organizações explorar com segurança as inovações da IA. 

Exemplo: a classificação de dados sensíveis da Securiti é alimentada por IA e dá aos usuários a capacidade de ajustar classificadores para seus dados para máxima precisão na classificação de dados sensíveis de vários tipos. 

Por que DSPM com DataCommandGraph? 

Nossa abordagem holística ao DSPM enfatiza uma inteligência profunda e abrangente de dados sensíveis em toda a empresa, impulsionada pelo nosso DataCommandGraph.  A descoberta, classificação, rotulagem e mapeamento abrangentes de todos os ativos da DataAI é pré-requisito para o uso seguro de dados e IA. A abordagem baseada em grafos da Securiti descobre automaticamente como elementos do seu patrimônio de dados (usuários, políticas, regulamentos, sistemas etc.) estão relacionados e quais riscos esses relacionamentos criam para o seu patrimônio de dados.

Ao visualizar essas relações, nossa plataforma ajuda a identificar rapidamente os ativos de dados que combinam elementos de risco, como sensibilidade, permissões excessivas e/ou configurações de segurança incorretas, para que sejam corrigidos com prioridade. Dados redundantes e obsoletos que excederam os requisitos de retenção e podem ser alvo de minimização. O DataCommandGraph fornecerá inteligência de acesso a dados avançada e correção, para aplicar o acesso com privilégios mínimos e sanitizar os dados antes de serem ingeridos, a fim de fornecer dados seguros de forma contínua. Fechar essas lacunas na segurança de dados estabelece as bases para o uso seguro da IA e protege os dados em caso de um ataque de agente de IA.   

Exemplo: O DataCommandGraph analisa a configuração do controle de acesso e mostra as relações entre contas humanas e de máquina e o acesso delas aos dados dentro do seu ambiente. Essa inteligência ajuda a mitigar proativamente contas com excesso de permissões, que podem ser exploradas por um atacante de IA Agent ou por uma consulta inocente de IA. 

Por que firewalls Gencore para guardrails de runtime de IA? 

Reforços adicionais de tempo de execução da IA são necessários para evitar jailbreaks e outros ataques a sistemas de IA. A dependência das salvaguardas do modelo de fronteira é insuficiente para a segurança da IA corporativa. Modelos são, por natureza, opacos e exigem muitos recursos para serem treinados ou ajustados. Os modelos de fronteira atuais são treinados com grandes quantidades de dados da internet pública antes de serem mais treinados para reconhecer resultados “ruins”. Essas salvaguardas não funcionam bem quando encontram exemplos reais que não viram em treinamentos, criando o jogo do gato e rato do jailbreak. Essas salvaguardas também são genéricas, não específicas para as necessidades da organização. 

Salvaguardas internas ao modelo não oferecem às empresas o nível de controle e flexibilidade de que precisam. Os firewalls Gencore são implantados fora do modelo de IA permitindo que as organizações configurem e apliquem, de forma independente, políticas específicas para suas necessidades de IA e segurança, abrangendo diferentes modelos e sistemas. O framework de segurança em IA TRiSM, do Gartner, recomenda explicitamente que “as empresas mantenham independência em relação a qualquer modelo de IA ou provedor de hospedagem específico, a fim de garantir escalabilidade, flexibilidade, controle de custos e confiança, à medida que os mercados de IA amadurecem e evoluem rapidamente”. 

Ao interceptar as entradas antes que elas cheguem ao modelo, as organizações passam a ter a capacidade de realizar ações como a redação de dados sensíveis antes da exposição a um modelo de terceiros (o ChatGPT, notoriamente, retém todos os dados inseridos como prompts). Alternativamente, caso instruções maliciosas sejam detectadas, um alerta pode ser gerado para as equipes de segurança. Uma das funções mais poderosas dos firewalls Gencore é a capacidade de restringir a atividade da IA a um conjunto específico de tópicos, prevenindo o uso indevido. Por exemplo, se um usuário fizer perguntas sobre métodos de autenticação de sistemas internos a um sistema de IA restrito ao atendimento ao cliente, esse prompt poderá ser bloqueado. 

A amplitude das políticas, facilidade de configuração e flexibilidade de implantação do Gencore Firewall o tornam escalável para empresas, onde a proliferação de usuários, modelos, ferramentas e fontes de dados cria complexidade em ritmo exponencial à medida que a IA cresce. 

Por fim, ao colocar um firewall na etapa de saída, uma camada extra de proteção pode ser configurada para fazer coisas como redigir ou mascarar saídas de dados sensíveis. Dessa forma, no caso de um jailbreak bem-sucedido, os atacantes ainda falhariam na recuperação de dados sensíveis. Um insider que conhecia bem o sistema e navegasse bem ainda assim registraria uma violação de política que atrairia escrutínio. 

 

 

Exemplo: os Firewalls Gencore da Securiti permitem que uma organização configure políticas e implante fora do modelo, exercendo controle sobre o fluxo de dados para seus próprios sistemas de IA. Ataques de injeção rápida ou tentativas de jailbreak são sinalizados antes mesmo de atingirem seu modelo. 

Protegendo seus ativos críticos na era dos ataques de agentes de IA

O que é necessário nesta nova era é um paradigma de segurança integrado que priorize a inteligência abrangente de dados sensíveis como pré-requisito, mapeie as relações entre todos os objetos em todo o ambiente de dados e aplique uma camada de controle ao sistema de IA fora do próprio modelo, além de escalar para atender às necessidades da empresa em cenários complexos de dados e tecnologia. 

A Securiti construiu exatamente isso com nossas soluções integradas DataCommandGraph e Gencore Firewalls. A Securiti foi criada para oferecer precisão, escala e capacidade de se adaptar aos dados da sua empresa. Nosso sistema alimentado por IA usa classificadores exclusivos para muitos tipos de dados confidenciais e um pipeline de 5 etapas para extrair sinais de dados brutos para obter precisão. Um gráfico dará suporte a todos os casos de uso de segurança de dados de IA em grande escala, e nosso sistema alimentado por IA se adapta às suas relações de aprendizado de dados, ajustando a classificação e gerando novas políticas sem que nenhum código seja escrito ou dados sejam transferidos. 

Muito antes da onda atual de IA, a Securiti começou a se preparar para este momento, arquitetando nosso sistema para atender aos desafios da IA Agente.

O ataque Anthropic não foi um tiro de advertência; foi o primeiro tiro. Definitivamente passamos de um cenário teórico de ameaças para um prático. A “era do ataque dos agentes de IA” chegou. 

O sucesso nesta nova era não será definido pela construção de muros mais altos, mas pela construção de defesas mais inteligentes e integradas. Isso exige uma mudança fundamental para uma postura unificada de segurança DataAI que proteja todo o ciclo de vida dos dados e sua interação com a IA. A Securiti é construída de forma única para oferecer a inteligência, flexibilidade e escalabilidade que sua organização precisa. 

 

Texto original publicado pela Securiti. Traduzido e adaptado pela Nexoria. Leia aqui. 

 

Foto de Nexoria

Nexoria

Unimos plataformas inteligentes, em parceria com os principais players do mercado, com profissionais experientes e especializados. Entregamos proteção digital completa — e ajudamos nossos clientes a lidar com riscos digitais cada vez mais complexos.

Publicações recentes

Veja todos

De obrigação regulatória a ferramenta de defesa: o papel estratégico do ROPA

  • 3 min
Saiba mais
Era digital

Prevenindo violações de dados antes que elas aconteçam: porque a segurança de e-mails não pode ser ignorada

  • 5 min
Saiba mais
gerenciamento de identidade de agentes de IA

A necessidade de gerenciamento de identidade de agentes de IA: eliminando uma lacuna empresarial

  • 6 min
Saiba mais

Empresas da holding ICTS anunciam reorganização estratégica e iniciam novo ciclo

  • 1 min
Saiba mais
Huge-linkedin-01 Huge-instagram
Selo GPTW
Selo Pró Ética

©2026 Nexoria. Todos os direitos reservados. Os direitos de propriedade intelectual nas páginas desse site o conteúdo disponível através das mesmas pertencem à Nexoria, bem como todos os outros direitos de propriedade intelectual, direitos autorais, sobre patentes e bancos de dados, direitos sobre marcas, projetos, know-how e informações confidenciais registradas ou não registradas.

Logotipo Nexoria