Ransomware ‘de IA’: a autonomia total ainda é balela
Rodou a internet a notícia de que o primeiro ransomware totalmente operado por IA tinha acabado de estrear, sem ninguém no teclado. Bonito storytelling, mas a versão completa é mais chata e mais interessante ao mesmo tempo: teve humano no meio, só que fazendo o trabalho de infraestrutura, não o de invasão.
A operação, batizada de JadePuffer pela Sysdig, usou um agente para entrar num servidor Langflow explorando uma falha já conhecida da ferramenta open-source. Dali o agente escalou para um servidor MySQL de produção, usou outro bug documentado para virar admin, e criptografou mais de 1.300 registros de configuração. Escreveu a própria nota de resgate e deixou um endereço de Bitcoin para pagamento. Nada de zero-day exótico, o que impressionou foi a velocidade: o agente corrigiu um login que tinha falhado em 31 segundos, narrando o próprio raciocínio em comentários de código.
O pipeline real do ataque
Separando quem fez o quê, dá pra montar um fluxo simples:
- Humano: escolhe o alvo, provisiona o servidor de comando e controle, monta o staging para os dados roubados e entrega as credenciais de acesso ao banco
- Agente: explora as falhas, se move pela rede, criptografa os arquivos e redige a nota de extorsão
Ou seja, a parte tediosa de operação continua manual. A parte técnica de invasão foi automatizada de ponta a ponta, e isso já é bastante coisa.
Qual modelo estava por trás
Um ponto gerou confusão: a Sysdig encontrou chaves de API da OpenAI, Anthropic, DeepSeek e Gemini no ambiente comprometido, e a primeira leitura foi de que múltiplos modelos rodavam o ataque em conjunto. Michael Clark, diretor de pesquisa de ameaças da empresa, esclareceu que essas chaves eram só parte do que o agente roubou de outras vítimas, não evidência de qual modelo tomava as decisões. A Sysdig não conseguiu identificar o modelo real por trás do agente, nem teve acesso ao prompt de sistema usado.
Geoff McDonald, pesquisador da Microsoft, apostou numa hipótese: um modelo open-weight com as camadas de segurança removidas, já que modelos de ponta costumam resistir bem a esse tipo de abuso em testes de red team.
O gargalo que ninguém menciona no hype
McDonald também alertou que campanhas de ransomware agora são limitadas pelo orçamento do atacante, não pelo esforço humano, o que abriria espaço para milhares de campanhas simultâneas. Só que, se cada ataque ainda depende de alguém escolhendo a vítima, montando infraestrutura e conseguindo credenciais na mão, esse escalonamento tem um teto bem real. A Sysdig não viu a mesma operação repetida em outras vítimas até agora, mas como rodar um agente desses é barato, a expectativa é que isso mude rápido.
Fonte: https://techcrunch.com/2026/07/06/the-first-ai-run-ransomware-attack-still-needed-a-human/