O Atacante Trocou o Script Dele por um Agente

Por uma década, a parte lenta de uma invasão foi o humano. Uma brecha abria uma porta, e então alguém precisava sentar ao teclado, ler a saída, decidir o próximo pivô, digitar o comando, esperar e repetir. Essa latência era a amiga do defensor. Ela criava a janela de resposta. Todo manual de resposta a incidentes assumia silenciosamente que havia uma pessoa do outro lado pensando em velocidade humana.

O Threat Research Team da Sysdig acabou de documentar o primeiro caso observado em que essa premissa deixou de valer. Um atacante não escreveu um script mais inteligente. Ele entregou o teclado a um agente de LLM, e o agente improvisou toda a cadeia de pós-exploração em tempo real. O relatório, “AI Agent at the Wheel”, traça um caminho de um CVE não autenticado até um banco de dados interno totalmente exfiltrado em quatro pivôs. A linha do tempo forense é a parte que deveria tirar o sono dos líderes de segurança.

O Que a Sysdig Observou

O ponto de entrada foi a CVE-2026-39987 no marimo, o notebook reativo de Python, uma vulnerabilidade já listada no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA. Essa parte é comum. CVE conhecida, atraso conhecido de patch, acesso inicial conhecido. O que veio depois não foi.

Segundo a Sysdig, o agente disparou 12 chamadas de API de nuvem por 11 endereços IP de Cloudflare Workers em 22 segundos. Em seguida abriu 8 sessões SSH paralelas a partir de 6 IPs diferentes em 113 segundos. O esquema completo do banco e seu conteúdo foram exfiltrados em menos de dois minutos. A cadeia inteira, do exploit inicial da CVE até o banco interno, foi concluída em menos de uma hora.

Releia esses números imaginando um humano no circuito. Doze chamadas coordenadas de API de nuvem em 22 segundos não é uma pessoa lendo documentação e decidindo o que consultar a seguir. Oito sessões SSH paralelas não é alguém alternando abas de terminal. Isso é um agente raciocinando sobre o ambiente, ramificando a estratégia conforme o retorno de cada passo e executando os ramos em paralelo. Michael Clark, Diretor de Threat Research da Sysdig, resumiu com precisão: “Não estamos vendo a IA substituir atacantes. Estamos vendo atacantes substituírem seus scripts por IA.”

Por Que Isso Quebra a Detecção por Assinatura

O instinto, quando surge uma nova técnica de ataque, é extrair seus indicadores e escrever uma regra. Bloquear os IPs. Gerar o hash do payload. Mapear a sequência de comandos. Esse instinto se apoia em uma premissa oculta: a de que o ataque é reutilizável, que a mesma cadeia vai aparecer na próxima vítima, e que catalogá-la protege o próximo alvo.

Um atacante agêntico dissolve essa premissa. O agente não roda um script fixo contra todo host. Ele lê o ambiente específico em que caiu e compõe um caminho sob medida para aquele ambiente. A CVE do marimo foi a porta, mas tudo depois da porta foi gerado na hora. A próxima vítima roda serviços diferentes, expõe credenciais diferentes, tem uma topologia interna diferente, e assim o agente produz uma cadeia diferente. Cada alvo recebe uma assinatura única. Os indicadores que você extraiu do incidente da Sysdig protegem quase ninguém, porque nenhuma execução se parece com a outra na camada de TTP.

Este é o mesmo problema estrutural sobre o qual já escrevemos no lado defensivo, em que agentes executando ações arbitrárias derrotam as listas de permissão construídas para processos determinísticos. O espelho ofensivo agora é real. Tratamos da resposta de governança em runtime em governança de syscall em runtime de agentes, e o princípio se mantém ao contrário: você não consegue enumerar o malicioso quando o malicioso é gerado por alvo.

A Arma É a Velocidade, Não a Inteligência

É tentador ler isso como “a IA deixou os atacantes mais espertos”. Esse enquadramento erra a mudança real. O agente não descobriu uma vulnerabilidade inédita nem inventou uma primitiva nova de exploração. Cada passo individual da cadeia da Sysdig era uma técnica conhecida. O que mudou foi o custo e o relógio.

Custo primeiro. Compor uma cadeia de pós-exploração feita sob medida exigia o tempo de um operador habilidoso. Essa habilidade era o gargalo, e o gargalo limitava quantos alvos um atacante conseguia trabalhar em paralelo e quão customizada cada invasão podia ser. Um agente derruba esse custo para perto de zero. Lógica de invasão sob medida, por alvo, agora é barata o bastante para rodar em escala.

Depois o relógio. Um esquema exfiltrado em menos de dois minutos é mais rápido do que a maioria dos pipelines de alerta leva para emitir uma notificação, quanto mais para um analista triá-la. A janela de resposta tradicional, o intervalo entre a brecha e o dano que dava aos defensores tempo de reagir, comprimiu-se abaixo da latência da decisão humana. Quando a pessoa lê o alerta, o banco já se foi.

Quando o laço do atacante roda mais rápido que o seu laço de resposta, a detecção que depende de um humano decidir o próximo movimento já perdeu. Você não está mais correndo contra outro humano.

De Catalogar TTPs a Governar Intenção

Se você não consegue mapear a cadeia nem superar o agente em velocidade manualmente, a postura de detecção precisa subir uma camada. Pare de perguntar “já vi exatamente esta técnica antes” e comece a perguntar “este ator está se comportando como algo que deveria ter esta capacidade”. Intenção e comportamento são os sinais duráveis quando os passos específicos são infinitamente variáveis.

Na prática, isso significa três mudanças. Primeira, observe a forma comportamental em vez da assinatura do payload: uma única sessão abrindo 8 conexões SSH paralelas por 6 IPs em menos de dois minutos é anômala independentemente de quais comandos rodem dentro delas. O ritmo e a dispersão são o sinal. Segunda, governe na fronteira da ação, não na fronteira do indicador. A mesma arquitetura que permite colocar guardrails de comportamento nos seus próprios agentes, bloqueando ações fora de um envelope esperado, é a arquitetura que captura um agente adversário operando dentro do seu perímetro. Terceira, automatize a resposta, porque um runbook em velocidade humana não fecha uma janela que se encerra em 113 segundos. O laço defensivo também precisa rodar em velocidade de máquina, ou não roda de jeito nenhum.

É também por isso que os ataques de cadeia de suprimentos que acompanhamos importam mais agora, não menos. Quando a brecha inicial pode ser entregue a um agente que exfiltra em minutos, o valor de uma dependência envenenada ou de uma credencial vazada sobe, porque o tempo até o dano após a brecha despenca. As lições de IA sombra na cadeia de suprimentos e de ataques de injeção em CLI se somam a este incidente: um motor de pós-exploração mais rápido eleva o preço de cada fraqueza a montante.

Faça Isto Agora

Audite uma premissa hoje: quanto tempo, no seu ambiente, separa uma brecha em um serviço exposto à internet de um humano decidindo o que fazer a respeito? Se esse número é medido em minutos ou horas, você está defendendo contra o atacante da década passada. Escolha seu serviço mais exposto à internet, o equivalente ao marimo na sua pilha, e instrumente o raio de impacto após a brecha. Adicione detecção comportamental sobre ritmo e paralelismo, não apenas assinaturas conhecidas. Depois coloque uma ação de contenção automatizada por trás dela, algo capaz de isolar uma sessão ou revogar uma credencial sem esperar por uma pessoa, porque o próximo operador do outro lado também não será uma pessoa.

Os defensores que sobreviverem à era agêntica serão os que pararam de catalogar o que os atacantes fizeram e começaram a governar o que qualquer ator, humano ou agente, tem permissão de fazer dentro de suas paredes. O primeiro caso documentado foi publicado. A postura de detecção que ele exige não é opcional.

---

Fontes

• Sysdig Threat Research Team. “AI Agent at the Wheel: From a CVE to an Internal Database in 4 Pivots.” Maio de 2026.

A Victorino ajuda equipes a colocar guardrails de comportamento em agentes de IA antes do primeiro incidente: contato@victorino.com.br | www.victorino.com.br