GhostApproval, Friendly Fire e HalluSquatting: a nova safra de ataques contra agentes de IA e como a cadeia de dev se blindou em julho

GhostApproval, Friendly Fire e HalluSquatting: três ataques novos contra agentes de IA — patches, riscos reais e o que times brasileiros precisam mudar agora.

GhostApproval, Friendly Fire e HalluSquatting: a nova safra de ataques contra agentes de IA e como a cadeia de dev se blindou em julho

Resumo: em duas semanas, três novos vetores de ataque contra agentes de IA foram documentados: GhostApproval (falha de symlink em 6 assistentes de código, corrigida no Amazon Q e no Cursor), Friendly Fire (agentes enganados a rodar código do atacante durante security scans) e HalluSquatting (weaponização de pacotes hallucinados por LLM para distribuição de botnet). Juntos, formam o mais completo caso público de ataques contra a cadeia de agentes desde JADEPUFFER — e coincidem com o incidente na Hugging Face, executado por um framework agêntico autônomo em milhares de sandboxes descartáveis.

GhostApproval: quando o symlink derrota a política

O GhostApproval é uma falha estrutural: assistentes de código exigem aprovação humana para operações de escrita fora de um diretório permitido, mas a checagem é feita antes de o sistema operacional resolver symlinks. Isso significa que um agente pode ser levado a “aprovar” uma escrita em /tmp/build, que na verdade é um symlink para /etc/systemd/system — comprometendo o host inteiro sem levantar bandeira.

Seis assistentes foram afetados. Amazon Q e Cursor lançaram patches em 24 horas. Devin Desktop, Cline, Aider e Composer 2.5 receberam correção parcial e prometem versão definitiva na semana seguinte. A recomendação da AWS Security Response Team é forçar todo agente a resolver symlinks (realpath()) antes de aplicar checagens de política e a bloquear escritas em diretórios que contenham qualquer link simbólico no caminho — o que, na prática, exige refazer a política de allowlist de vários assistentes.

Friendly Fire: o scan de segurança vira vetor

Friendly Fire abusa da própria função de segurança dos agentes. A ideia é elegante e assustadora: o atacante planta um arquivo em um repositório público de OSS que parece um test fixture vulnerável. Um agente de segurança acionado para “verificar dependências” tenta reproduzir o vetor de exploração para gerar o report — e nessa reprodução acaba executando código escolhido pelo atacante, com as credenciais do próprio agente.

O ataque atinge a categoria inteira de agentic security scanners — Snyk AI, Semgrep Copilot, Trellix Autonomous Scan e GitHub Advanced Security. A mitigação exige separar o processo que a vulnerabilidade do processo que reproduz a exploração, com sandbox isolada, sem credenciais válidas e com quotas explícitas de rede. Semgrep foi a primeira a publicar patch (SP-2026-114); GitHub prometeu correção para agosto.

HalluSquatting: quando o próprio modelo vira propaganda

HalluSquatting é uma evolução do typosquatting. LLMs sugerem, com frequência, nomes de pacotes que não existem — @openai/agents-toolkit, langgraph-plus, rag-utils-pro. Ataque: o adversário publica pacotes com esses nomes fantasmas no npm, PyPI ou Cargo, contendo payload malicioso. Cada vez que um dev copia a sugestão do modelo direto para o terminal, instala o pacote atacante.

A dimensão do problema é maior do que parece. Uma pesquisa da Sysdig no início de julho identificou 1.244 pacotes maliciosos em npm, publicados em duas semanas, cujos nomes coincidem com sugestões repetidas de assistentes de código. O contra-ataque óbvio: filtrar sugestões contra o catálogo real. Cursor e GitHub Copilot já rodam essa checagem por padrão; Devin e Aider ainda não. Sysdig recomenda também usar lockfiles assinados e escanear dependências novas com Trivy antes de qualquer install.

Contexto: o incidente na Hugging Face

O timing é ruim — no mesmo mês, a Hugging Face confirmou um incidente iniciado em pipeline de dados, com abuso de remote code dataset loader e template injection executando código em workers. A campanha foi operada por um framework agêntico autônomo, disparando milhares de ações em swarm de sandboxes de curta duração. É a materialização, no lado ofensivo, do que a comunidade de agentic AI vinha discutindo teoricamente: o atacante agora tem, ele também, um agente que trabalha 24×7.

Junte tudo — GhostApproval, Friendly Fire, HalluSquatting e o incidente Hugging Face — e a leitura fica clara: a superfície de ataque da IA agêntica agora inclui a cadeia de desenvolvimento inteira, do LLM que sugere até o pacote instalado, o scanner que auto-reproduz e o filesystem que confia em caminhos. E o atacante, cada vez mais, também é um agente.

O que fazer nesta semana

Três frentes de ação imediata para times brasileiros:

  • Assistentes de código: atualizar Cursor, Amazon Q, Cline, Aider, Composer 2.5 e Devin Desktop para as versões mais recentes; forçar resolução de symlinks antes de qualquer escrita; e revisar a lista de diretórios permitidos.
  • Segurança: se você usa scanner agêntico (Snyk AI, Semgrep Copilot, Trellix), rode em sandbox isolada sem credenciais de produção, aplique patches disponíveis e valide manualmente resultados por 30 dias antes de reativar automação total.
  • Cadeia de dependências: ative filtro contra catálogo real em todos os IDEs; force lockfiles assinados (npm signature, PyPI Sigstore); e adicione política de “review humana” para qualquer pacote adicionado por sugestão de IA nos últimos 15 dias.

Forças

  • Vetores públicos permitem contra-medidas rápidas.
  • Amazon Q, Cursor e Semgrep patcharam em prazo curto.
  • Sysdig e outras firmas já publicam catálogos de pacotes maliciosos conhecidos.

Fraquezas

  • Vários assistentes ainda sem patch definitivo.
  • Falta de padrão comum de política de symlink e escrita.
  • Dependência crescente de agentes na cadeia produtiva de dev.

Oportunidades

  • Consolidação de padrões de segurança para agentic dev.
  • Novo mercado para SBOM assinado, sandbox as a service e agente red team.
  • Espaço para regulamentação — ANPD já sinaliza IA agêntica como prioridade em 2027.

Ameaças

  • Ataques automatizados por agentes hostis crescem em escala.
  • Devs sob pressão colam sugestões sem revisar.
  • Confiança na cadeia OSS já erodida por incidentes anteriores.

Contexto para o Brasil

ANPD, CERT.br e o TIC do setor bancário devem tratar esses três ataques como sinal para acelerar recomendações formais sobre uso de assistentes de código em ambientes regulados. A Febraban prepara um guia para o setor financeiro que deve sair em agosto, e o CERT.br já emitiu comunicado na quinta-feira alertando sobre HalluSquatting em pacotes brasileiros de open source (encontrados 41 pacotes fantasmas com nomes portugueses no npm).

Times de segurança ofensiva brasileiros podem tirar proveito também. HalluSquatting em português (nomes fantasmas com “gerador-“, “cadastro-“, “consulta-“) já é vetor real e underdefended — quem publicar catálogo público ganha vantagem competitiva no mercado nacional de bug bounty.

Conclusão prática

Julho de 2026 marca o momento em que a segurança de agentes de IA deixou de ser exercício acadêmico e virou tarefa operacional. O padrão emergente é claro: agente contra agente, com humano no meio tentando aplicar patch. Empresas que fizeram due diligence em assistentes de código nos últimos 12 meses e agora só precisam atualizar versões estão em vantagem. Quem só instalou “porque era produtivo” tem uma semana difícil pela frente.

Fonte: Microsoft Security — RCE in AI Agent Frameworks e Hugging Face Security Incident, July 2026.