Quando a IA ataca: Caso envolvendo a Claude, a falha ShadowMQ que expoe IA’s e a lição para empresas visando 2026
Inteligência Artificial deixou de ser apenas uma ferramenta de produtividade e passou a integrar diretamente fluxos críticos de negócio e segurança. Em setembro de 2025, a Anthropic revelou o que seria o primeiro ciberataque de larga escala executado massivamente por IA, envolvendo a própria Claude. Simultaneamente, pesquisadores descobriram o ShadowMQ, uma vulnerabilidade silenciosa que contamina a infraestrutura que sustenta aplicações de IA em gigantes como Meta, Nvidia e Microsoft. Essas descobertas expõem uma realidade incômoda: a adoção acelerada de IA criou dois vetores simultâneos de risco, o uso ofensivo de modelos por atores estatais e falhas na infraestrutura que sustenta esses sistemas. Para empresas que integram IA em processos críticos, a mensagem é clara: proteger a IA não é opcional, é mandatório. Neste artigo, analisamos o que esses dois casos revelam sobre a nova geração de riscos digitais: como agentes de IA podem ser cooptados para operações de espionagem em escala, por que vulnerabilidades “de infraestrutura” como ShadowMQ tendem a passar despercebidas e quais controles de governança, identidade, credenciais e resposta a incidentes precisam ser fortalecidos nas empresas que já colocam IA no centro de processos críticos. A ofensiva silenciosa: Claude sequestrado para espionagem De acordo com comunicado oficial da Anthropic, investigadores da empresa detectaram em setembro de 2025 uma operação de espionagem de larga escala que utilizava o Claude de forma criminosa. Com alto grau de confiança, a análise apontou que o ataque foi financiado ou executado por um grupo de hackers ligado chineses, direcionado contra empresas de tecnologia, finanças, produtos químicos e agências governamentais. O que torna esse incidente particularmente alarmante é sua escala: até 90% das tarefas foram executadas automaticamente pelo Claude, com apenas intervenções esporádicas de operadores humanos, um dos primeiros casos documentados de uso extensivo de IA para automação de tarefas ofensivas, reduzindo significativamente a necessidade de intervenção humana contínua. Como o Claude Foi Enganado A operação explorou uma falha fundamental: a confiança. Os invasores não “hackearam” o Claude no sentido tradicional. Em vez disso, manipularam o modelo através de prompts cuidadosamente elaborados, criando um cenário fictício que levou a IA a acreditar estar participando de um teste legítimo de defesa cibernética, no papel de especialista em segurança. Os atacantes solicitavam pequenas tarefas aparentemente inocentes, uma por vez. Esse método, conhecido como prompt injection gradual (combinando fragmentação de objetivos, manipulação de contexto e abuso de confiança em tarefas delegadas), evitou o acionamento dos sistemas de detecção de abuso da Anthropic, permitindo que o ataque escalasse sem alertas imediatos. O Claude foi então direcionado para inspecionar sistemas e infraestrutura de empresas-alvo, identificar as bases de dados mais valiosas e localizar vulnerabilidades de segurança nesses ambientes. Uma vez identificadas as brechas, o Claude foi utilizado para identificar, priorizar e orientar a exploração de vulnerabilidades, com a execução técnica ocorrendo por ferramentas externas controladas pelos operadores, extrair dados sensíveis como nomes de usuário e senhas, e criar arquivos compilados com as credenciais roubadas, prontos para consulta posterior pelos cibercriminosos. O poder das capacidades agênticas O que permitiu essa escalada foi uma característica do Claude frequentemente elogiada por usuários, sua capacidade de agir autonomamente. O modelo foi solicitado para navegar em sites, executar tarefas complexas e tomar decisões sem intervenção humana contínua. Em um contexto de segurança, isso se provou catastrófico. Apesar de ocasionalmente “alucinar”, inventando dados ou interpretando informações públicas como secretas, o serviço obteve sucesso na maioria das operações de espionagem. Essa taxa de sucesso parcial mas significativa permitiu aos invasores construir uma visão abrangente da infraestrutura de seus alvos e, potencialmente, vender esse acesso inicial a grupos criminosos adicionais. Analistas da Bitdefender observaram que algumas acusações da Anthropic podem ser “especulativas”, mas reforçam um ponto indiscutível: os riscos de ataques com IA são reais e urgentes. A falha silenciosa: ShadowMQ expõe a fragilidade da infraestrutura de IA Enquanto o ataque com Claude representava uma ameaça ofensiva, outra descoberta revelava uma vulnerabilidade defensiva igualmente grave. Pesquisadores identificaram uma falha que se disseminou despercebidamente em frameworks de IA usados por organizações em todo o mundo. O problema começou de forma simples. Em 2024, analisando o LlaMa Stack da Meta, os pesquisadores encontraram um uso problemático do método recv_pyobj() do ZeroMQ (ZMQ), um protocolo de comunicação amplamente utilizado. Esse método abre mensagens usando pickle, um mecanismo Python que desserializa dados, e ao desserializar, executa código automaticamente. Em um servidor acessível pela internet, essa característica vira um vetor de ataque óbvio: um invasor pode enviar uma mensagem aparentemente legítima que contenha código malicioso, e o sistema a executará sem questionamentos. A reutilização de código é o mecanismo principal dessa contaminação. Arquivos inteiros estão sendo adaptados de um projeto para outro com alterações mínimas. No SGLang, por exemplo, o arquivo vulnerável começa literalmente com “Adaptado do vLLM”, uma adaptação que incluiu a mesma lógica de desserialização insegura que permitiu o RCE no vLLM, divulgado como CVE-2025-30165 em maio de 2025. A contaminação em cadeia O alarmante é que essa vulnerabilidade não permaneceu isolada. A Meta corrigiu rapidamente o problema, substituindo pickle por JSON. Porém, a análise subsequente revelou um padrão preocupante: outros frameworks de IA traziam o mesmo trecho vulnerável, copiado quase idêntico de projeto em projeto. SGLang, por exemplo, tinha um arquivo que explicitamente mencionava ter sido adaptado do vLLM, herdando junto a lógica insegura. Assim nasceu o nome ShadowMQ, uma falha que se espalha silenciosamente porque um projeto herda o código do outro, sem revisão adequada. Os sistemas que contêm ShadowMQ não são obscuros. Frameworks amplamente utilizados por universidades e grandes corporações estavam afetados: A abrangência de adoção do SGLang é particularmente alarmante. Segundo o repositório GitHub da estrutura, ela é adotada por xAI, AMD, NVIDIA, Intel, LinkedIn, Cursor, Oracle Cloud, Google Cloud, Microsoft Azure, AWS, além de instituições de pesquisa como MIT, Stanford, UC Berkeley e Universidade de Tsinghua. Essa disseminação global de uma única vulnerabilidade amplifica dramaticamente o risco. Esses sistemas rodam frequentemente em servidores potentes com múltiplas GPUs e acesso a informações sensíveis. A escala dessa exposição é quantificável. Pesquisadores identificaram milhares de soquetes TCP
