Resumo: em duas semanas, três novos vetores de ataque contra agentes de IA foram documentados: GhostApproval (falha de symlink em 6 assistentes de código, corrigida no Amazon Q e no Cursor), Friendly Fire (agentes enganados a rodar código do atacante durante security scans) e HalluSquatting (weaponização de pacotes hallucinados por LLM para distribuição de botnet). Juntos, formam o mais completo caso público de ataques contra a cadeia de agentes desde JADEPUFFER — e coincidem com o incidente na Hugging Face, executado por um framework agêntico autônomo em milhares de sandboxes descartáveis.
O GhostApproval é uma falha estrutural: assistentes de código exigem aprovação humana para operações de escrita fora de um diretório permitido, mas a checagem é feita antes de o sistema operacional resolver symlinks. Isso significa que um agente pode ser levado a “aprovar” uma escrita em /tmp/build, que na verdade é um symlink para /etc/systemd/system — comprometendo o host inteiro sem levantar bandeira.
Seis assistentes foram afetados. Amazon Q e Cursor lançaram patches em 24 horas. Devin Desktop, Cline, Aider e Composer 2.5 receberam correção parcial e prometem versão definitiva na semana seguinte. A recomendação da AWS Security Response Team é forçar todo agente a resolver symlinks (realpath()) antes de aplicar checagens de política e a bloquear escritas em diretórios que contenham qualquer link simbólico no caminho — o que, na prática, exige refazer a política de allowlist de vários assistentes.
Friendly Fire abusa da própria função de segurança dos agentes. A ideia é elegante e assustadora: o atacante planta um arquivo em um repositório público de OSS que parece um test fixture vulnerável. Um agente de segurança acionado para “verificar dependências” tenta reproduzir o vetor de exploração para gerar o report — e nessa reprodução acaba executando código escolhido pelo atacante, com as credenciais do próprio agente.
O ataque atinge a categoria inteira de agentic security scanners — Snyk AI, Semgrep Copilot, Trellix Autonomous Scan e GitHub Advanced Security. A mitigação exige separar o processo que lê a vulnerabilidade do processo que reproduz a exploração, com sandbox isolada, sem credenciais válidas e com quotas explícitas de rede. Semgrep foi a primeira a publicar patch (SP-2026-114); GitHub prometeu correção para agosto.
HalluSquatting é uma evolução do typosquatting. LLMs sugerem, com frequência, nomes de pacotes que não existem — @openai/agents-toolkit, langgraph-plus, rag-utils-pro. Ataque: o adversário publica pacotes com esses nomes fantasmas no npm, PyPI ou Cargo, contendo payload malicioso. Cada vez que um dev copia a sugestão do modelo direto para o terminal, instala o pacote atacante.
A dimensão do problema é maior do que parece. Uma pesquisa da Sysdig no início de julho identificou 1.244 pacotes maliciosos em npm, publicados em duas semanas, cujos nomes coincidem com sugestões repetidas de assistentes de código. O contra-ataque óbvio: filtrar sugestões contra o catálogo real. Cursor e GitHub Copilot já rodam essa checagem por padrão; Devin e Aider ainda não. Sysdig recomenda também usar lockfiles assinados e escanear dependências novas com Trivy antes de qualquer install.
O timing é ruim — no mesmo mês, a Hugging Face confirmou um incidente iniciado em pipeline de dados, com abuso de remote code dataset loader e template injection executando código em workers. A campanha foi operada por um framework agêntico autônomo, disparando milhares de ações em swarm de sandboxes de curta duração. É a materialização, no lado ofensivo, do que a comunidade de agentic AI vinha discutindo teoricamente: o atacante agora tem, ele também, um agente que trabalha 24×7.
Junte tudo — GhostApproval, Friendly Fire, HalluSquatting e o incidente Hugging Face — e a leitura fica clara: a superfície de ataque da IA agêntica agora inclui a cadeia de desenvolvimento inteira, do LLM que sugere até o pacote instalado, o scanner que auto-reproduz e o filesystem que confia em caminhos. E o atacante, cada vez mais, também é um agente.
Três frentes de ação imediata para times brasileiros:
ANPD, CERT.br e o TIC do setor bancário devem tratar esses três ataques como sinal para acelerar recomendações formais sobre uso de assistentes de código em ambientes regulados. A Febraban prepara um guia para o setor financeiro que deve sair em agosto, e o CERT.br já emitiu comunicado na quinta-feira alertando sobre HalluSquatting em pacotes brasileiros de open source (encontrados 41 pacotes fantasmas com nomes portugueses no npm).
Times de segurança ofensiva brasileiros podem tirar proveito também. HalluSquatting em português (nomes fantasmas com “gerador-“, “cadastro-“, “consulta-“) já é vetor real e underdefended — quem publicar catálogo público ganha vantagem competitiva no mercado nacional de bug bounty.
Julho de 2026 marca o momento em que a segurança de agentes de IA deixou de ser exercício acadêmico e virou tarefa operacional. O padrão emergente é claro: agente contra agente, com humano no meio tentando aplicar patch. Empresas que fizeram due diligence em assistentes de código nos últimos 12 meses e agora só precisam atualizar versões estão em vantagem. Quem só instalou “porque era produtivo” tem uma semana difícil pela frente.
Fonte: Microsoft Security — RCE in AI Agent Frameworks e Hugging Face Security Incident, July 2026.
Sanofi renova parceria com a Owkin por cinco anos, licenciando o K Pro para desenvolver…
FDA aceita no programa ISTAND o Digital Liver Model da Absentia Labs — primeiro DDT…
Moonshot AI lança Kimi K3 com 2,8T parâmetros MoE, 1M de contexto, Kimi Delta Attention…
Comissão Europeia liga o gatilho de fiscalização do AI Act para modelos GPAI em 2…
CISA adicionou ao KEV duas vulnerabilidades críticas (CVSS 9.1) no FortiSandbox com exploração ativa. Uma…
Invasão a servidores da maior operadora de logística refrigerada do Japão causou desabastecimento em mais…