Pular para o conteúdo
Inteligência Artificial

Ransomware ‘de IA’: a autonomia total ainda é balela

Ransomware ‘de IA’: a autonomia total ainda é balela

Rodou a internet a notícia de que o primeiro ransomware totalmente operado por IA tinha acabado de estrear, sem ninguém no teclado. Bonito storytelling, mas a versão completa é mais chata e mais interessante ao mesmo tempo: teve humano no meio, só que fazendo o trabalho de infraestrutura, não o de invasão.

A operação, batizada de JadePuffer pela Sysdig, usou um agente para entrar num servidor Langflow explorando uma falha já conhecida da ferramenta open-source. Dali o agente escalou para um servidor MySQL de produção, usou outro bug documentado para virar admin, e criptografou mais de 1.300 registros de configuração. Escreveu a própria nota de resgate e deixou um endereço de Bitcoin para pagamento. Nada de zero-day exótico, o que impressionou foi a velocidade: o agente corrigiu um login que tinha falhado em 31 segundos, narrando o próprio raciocínio em comentários de código.

O pipeline real do ataque

Separando quem fez o quê, dá pra montar um fluxo simples:

  • Humano: escolhe o alvo, provisiona o servidor de comando e controle, monta o staging para os dados roubados e entrega as credenciais de acesso ao banco
  • Agente: explora as falhas, se move pela rede, criptografa os arquivos e redige a nota de extorsão

Ou seja, a parte tediosa de operação continua manual. A parte técnica de invasão foi automatizada de ponta a ponta, e isso já é bastante coisa.

Qual modelo estava por trás

Um ponto gerou confusão: a Sysdig encontrou chaves de API da OpenAI, Anthropic, DeepSeek e Gemini no ambiente comprometido, e a primeira leitura foi de que múltiplos modelos rodavam o ataque em conjunto. Michael Clark, diretor de pesquisa de ameaças da empresa, esclareceu que essas chaves eram só parte do que o agente roubou de outras vítimas, não evidência de qual modelo tomava as decisões. A Sysdig não conseguiu identificar o modelo real por trás do agente, nem teve acesso ao prompt de sistema usado.

Geoff McDonald, pesquisador da Microsoft, apostou numa hipótese: um modelo open-weight com as camadas de segurança removidas, já que modelos de ponta costumam resistir bem a esse tipo de abuso em testes de red team.

O gargalo que ninguém menciona no hype

McDonald também alertou que campanhas de ransomware agora são limitadas pelo orçamento do atacante, não pelo esforço humano, o que abriria espaço para milhares de campanhas simultâneas. Só que, se cada ataque ainda depende de alguém escolhendo a vítima, montando infraestrutura e conseguindo credenciais na mão, esse escalonamento tem um teto bem real. A Sysdig não viu a mesma operação repetida em outras vítimas até agora, mas como rodar um agente desses é barato, a expectativa é que isso mude rápido.

Fonte: https://techcrunch.com/2026/07/06/the-first-ai-run-ransomware-attack-still-needed-a-human/

Relacionados

Continue lendo

Automatize com a OctoSys

Da ideia a automacao rodando

Falou no WhatsApp hoje, a gente devolve um plano no mesmo dia. Sem compromisso.