Agentes autônomos com IA expõem novas brechas de segurança na web

0 0

Agentes web baseados em inteligência artificial estão se tornando protagonistas em fluxos de trabalho modernos. Grandes empresas e startups vêm adotando esses sistemas com rapidez, apostando na capacidade dos agentes de agir com autonomia em tarefas como navegar, clicar, preencher formulários, usar APIs e até controlar o sistema operacional.

Esses agentes são alimentados por modelos de linguagem (LLMs) e automatizam ações por meio de navegadores sem interface (headless browsers) ou clientes de API. Ferramentas como Browser-Use e Skyvern focam na automação do navegador, enquanto ACE (da General Agents), Operator (da OpenAI) e Claude’s Computer Use vão além, operando também no ambiente do desktop.

No entanto, quanto mais poderosas essas ferramentas se tornam, mais vulneráveis ficam. Pesquisadores da Imperva alertam para os riscos de segurança que emergem nesse cenário — destacando, principalmente, os ataques do tipo agent hijacking.

Como funciona o agent hijacking?

O sequestro de agentes (agent hijacking) ocorre quando um invasor interfere na forma como o agente percebe informações ou toma decisões. Isso pode ser feito por meio de entradas maliciosas ou manipulação de lógica interna, induzindo o agente a confiar em dados falsos, vazar informações sensíveis ou executar ações prejudiciais.

Esses ataques se dividem em duas categorias principais:

• Hijacking de percepção e interface: manipula o que o agente “vê” e como interage com a web. Ao alterar o DOM de uma página (por exemplo, substituindo botões legítimos por links maliciosos), o invasor pode enganar o agente, levando-o a realizar ações perigosas. Um vídeo demonstrativo mostra como um simples comentário em markdown em um fórum pode redirecionar um agente Browser-Use para um site malicioso.
  
• Hijacking por prompt: atua diretamente na lógica de raciocínio do agente. Ao esconder instruções maliciosas em elementos da página, o atacante influencia decisões do agente sem precisar alterar seu código. Em outra demonstração, um site falso de login insere comandos que fazem o agente assistir a um vídeo específico — prova de que instruções disfarçadas em linguagem natural podem controlar o comportamento da IA.
  

Ataques combinados e seus impactos

Em agentes baseados em navegador, os dois tipos de hijacking frequentemente se combinam. Para injetar comandos via prompt, o atacante primeiro precisa controlar o que o agente vê — manipulando o DOM ou inserindo elementos escondidos na página.

A interface web se torna, assim, a superfície principal de injeção. Instruções perigosas são disfarçadas em conteúdos que o agente provavelmente vai resumir ou interpretar, usando a manipulação da percepção como vetor para comprometer seu raciocínio.

O que pode acontecer em um ataque?

Os riscos do sequestro de agentes são reais e crescentes. Veja algumas das possíveis consequências:

• Manipulação entre sites: assim como em ataques XSS ou CSRF, agentes podem ser induzidos a realizar ações em outros sites. Um exemplo prático mostra um agente fazendo compras não autorizadas ao ser redirecionado com uma sessão já autenticada.
  
• Execução de comandos perigosos: muitos agentes conseguem simular teclado e mouse ou executar código diretamente. Se não estiverem isolados em sandboxes, esses agentes podem apagar arquivos, instalar malwares ou comprometer o sistema. Estudos já demonstraram como isso pode acontecer em ferramentas como ACE ou Claude Computer Use.
  
• Vazamento de contexto e dados sensíveis: agentes lidam com dados privados como conteúdo de páginas, tokens de sessão, chaves de API e prompts do usuário. Um ataque pode forçar o vazamento dessas informações. Uma das demonstrações revela como um agente pode enviar dados locais sigilosos a um servidor externo, a partir de um comando escondido em uma página falsa.
  
• Efeitos em cascata em fluxos multiagente: quando agentes trabalham em conjunto — um buscando dados, outro analisando e outro atualizando bancos de dados — basta um ser comprometido para contaminar os demais. Protocolos como Agent-to-Agent (A2A) ou Model Context Protocol (MCP) permitem essa integração, mas também abrem portas para propagação silenciosa de comandos maliciosos em estruturas aparentemente seguras.
  

Recomendações: supervisão e contenção

Agentes como Browser-Use, ACE, Skyvern, Auto-GPT e Operator representam o avanço da automação com IA, mas é fundamental tratá-los com cautela. Um agente comprometido pode se tornar uma arma nas mãos de atacantes.

A comunidade técnica já busca soluções como filtragem de conteúdo, validação entre agentes e agentes com políticas rígidas de segurança. O uso de sandboxes, permissões mínimas e auditoria contínua são práticas essenciais.

A orientação é clara: trate esses agentes como estagiários superpoderosos. Supervise suas ações, treine com cuidado e evite deixá-los agir sozinhos em tarefas críticas como transações financeiras ou exclusão de dados. A compreensão das falhas — como injeção de prompt, manipulação de sites, vazamentos de contexto e ataques em cadeia — é o primeiro passo para criar ecossistemas de agentes mais seguros e eficientes.

Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.