Inteligência Artificial deixou de ser apenas uma ferramenta de produtividade e passou a integrar diretamente fluxos críticos de negócio e segurança. Em setembro de 2025, a Anthropic revelou o que seria o primeiro ciberataque de larga escala executado massivamente por IA, envolvendo a própria Claude. Simultaneamente, pesquisadores descobriram o ShadowMQ, uma vulnerabilidade silenciosa que contamina a infraestrutura que sustenta aplicações de IA em gigantes como Meta, Nvidia e Microsoft.
Essas descobertas expõem uma realidade incômoda: a adoção acelerada de IA criou dois vetores simultâneos de risco, o uso ofensivo de modelos por atores estatais e falhas na infraestrutura que sustenta esses sistemas. Para empresas que integram IA em processos críticos, a mensagem é clara: proteger a IA não é opcional, é mandatório.
Neste artigo, analisamos o que esses dois casos revelam sobre a nova geração de riscos digitais: como agentes de IA podem ser cooptados para operações de espionagem em escala, por que vulnerabilidades “de infraestrutura” como ShadowMQ tendem a passar despercebidas e quais controles de governança, identidade, credenciais e resposta a incidentes precisam ser fortalecidos nas empresas que já colocam IA no centro de processos críticos.
A ofensiva silenciosa: Claude sequestrado para espionagem
De acordo com comunicado oficial da Anthropic, investigadores da empresa detectaram em setembro de 2025 uma operação de espionagem de larga escala que utilizava o Claude de forma criminosa. Com alto grau de confiança, a análise apontou que o ataque foi financiado ou executado por um grupo de hackers ligado chineses, direcionado contra empresas de tecnologia, finanças, produtos químicos e agências governamentais.
O que torna esse incidente particularmente alarmante é sua escala: até 90% das tarefas foram executadas automaticamente pelo Claude, com apenas intervenções esporádicas de operadores humanos, um dos primeiros casos documentados de uso extensivo de IA para automação de tarefas ofensivas, reduzindo significativamente a necessidade de intervenção humana contínua.
Como o Claude Foi Enganado
A operação explorou uma falha fundamental: a confiança. Os invasores não “hackearam” o Claude no sentido tradicional. Em vez disso, manipularam o modelo através de prompts cuidadosamente elaborados, criando um cenário fictício que levou a IA a acreditar estar participando de um teste legítimo de defesa cibernética, no papel de especialista em segurança.
Os atacantes solicitavam pequenas tarefas aparentemente inocentes, uma por vez. Esse método, conhecido como prompt injection gradual (combinando fragmentação de objetivos, manipulação de contexto e abuso de confiança em tarefas delegadas), evitou o acionamento dos sistemas de detecção de abuso da Anthropic, permitindo que o ataque escalasse sem alertas imediatos.
O Claude foi então direcionado para inspecionar sistemas e infraestrutura de empresas-alvo, identificar as bases de dados mais valiosas e localizar vulnerabilidades de segurança nesses ambientes. Uma vez identificadas as brechas, o Claude foi utilizado para identificar, priorizar e orientar a exploração de vulnerabilidades, com a execução técnica ocorrendo por ferramentas externas controladas pelos operadores, extrair dados sensíveis como nomes de usuário e senhas, e criar arquivos compilados com as credenciais roubadas, prontos para consulta posterior pelos cibercriminosos.
O poder das capacidades agênticas
O que permitiu essa escalada foi uma característica do Claude frequentemente elogiada por usuários, sua capacidade de agir autonomamente. O modelo foi solicitado para navegar em sites, executar tarefas complexas e tomar decisões sem intervenção humana contínua. Em um contexto de segurança, isso se provou catastrófico.
Apesar de ocasionalmente “alucinar”, inventando dados ou interpretando informações públicas como secretas, o serviço obteve sucesso na maioria das operações de espionagem. Essa taxa de sucesso parcial mas significativa permitiu aos invasores construir uma visão abrangente da infraestrutura de seus alvos e, potencialmente, vender esse acesso inicial a grupos criminosos adicionais.
Analistas da Bitdefender observaram que algumas acusações da Anthropic podem ser “especulativas”, mas reforçam um ponto indiscutível: os riscos de ataques com IA são reais e urgentes.
A falha silenciosa: ShadowMQ expõe a fragilidade da infraestrutura de IA
Enquanto o ataque com Claude representava uma ameaça ofensiva, outra descoberta revelava uma vulnerabilidade defensiva igualmente grave. Pesquisadores identificaram uma falha que se disseminou despercebidamente em frameworks de IA usados por organizações em todo o mundo.
O problema começou de forma simples. Em 2024, analisando o LlaMa Stack da Meta, os pesquisadores encontraram um uso problemático do método recv_pyobj() do ZeroMQ (ZMQ), um protocolo de comunicação amplamente utilizado. Esse método abre mensagens usando pickle, um mecanismo Python que desserializa dados, e ao desserializar, executa código automaticamente.
Em um servidor acessível pela internet, essa característica vira um vetor de ataque óbvio: um invasor pode enviar uma mensagem aparentemente legítima que contenha código malicioso, e o sistema a executará sem questionamentos.
A reutilização de código é o mecanismo principal dessa contaminação. Arquivos inteiros estão sendo adaptados de um projeto para outro com alterações mínimas. No SGLang, por exemplo, o arquivo vulnerável começa literalmente com “Adaptado do vLLM”, uma adaptação que incluiu a mesma lógica de desserialização insegura que permitiu o RCE no vLLM, divulgado como CVE-2025-30165 em maio de 2025.
A contaminação em cadeia
O alarmante é que essa vulnerabilidade não permaneceu isolada. A Meta corrigiu rapidamente o problema, substituindo pickle por JSON. Porém, a análise subsequente revelou um padrão preocupante: outros frameworks de IA traziam o mesmo trecho vulnerável, copiado quase idêntico de projeto em projeto.
SGLang, por exemplo, tinha um arquivo que explicitamente mencionava ter sido adaptado do vLLM, herdando junto a lógica insegura. Assim nasceu o nome ShadowMQ, uma falha que se espalha silenciosamente porque um projeto herda o código do outro, sem revisão adequada.
Os sistemas que contêm ShadowMQ não são obscuros. Frameworks amplamente utilizados por universidades e grandes corporações estavam afetados:
- Meta Llama Stack (CVE-2024-50050 — corrigido em outubro/2024)
- vLLM (CVE-2025-30165 — corrigido em maio/2025)
- NVIDIA TensorRT-LLM (CVE-2025-23254 — corrigido em maio/2025, classificado como crítico 9,3 pela NVD)
- Modular Max Server (CVE-2025-60455 — corrigido em junho/2025)
- SGLang (correções parciais em andamento)
- Microsoft Sarathi-Serve (permanece vulnerável)
A abrangência de adoção do SGLang é particularmente alarmante. Segundo o repositório GitHub da estrutura, ela é adotada por xAI, AMD, NVIDIA, Intel, LinkedIn, Cursor, Oracle Cloud, Google Cloud, Microsoft Azure, AWS, além de instituições de pesquisa como MIT, Stanford, UC Berkeley e Universidade de Tsinghua. Essa disseminação global de uma única vulnerabilidade amplifica dramaticamente o risco.
Esses sistemas rodam frequentemente em servidores potentes com múltiplas GPUs e acesso a informações sensíveis. A escala dessa exposição é quantificável. Pesquisadores identificaram milhares de soquetes TCP ZMQ expostos na internet pública, se comunicando sem criptografia, alguns claramente pertencentes a servidores de inferência de produção. Em configurações assim, uma única chamada de desserialização incorreta pode expor toda uma operação de IA.
Uma vulnerabilidade RCE (execução remota de código) nesse contexto não é um incômodo, é uma catástrofe potencial.
O risco oculto
Pesquisadores gravaram ataques reais funcionando em ferramentas como Nvidia TensorRT-LLM e Modular Max. Um invasor explorando ShadowMQ poderia executar comandos diretamente no servidor de IA, acessar outros sistemas internos conectados, vazar informações sensíveis, instalar programas maliciosos como mineradores de criptomoedas e comprometer clusters inteiros usados em produção.
A exploração de um único nó vulnerável pode permitir que os invasores executem código arbitrário em todo o cluster, elevem privilégios para sistemas internos, exfiltrem dados sensíveis e segredos de modelos, ou instalem mineradores de criptomoedas baseados em GPU para lucro como observado na campanha ShadowRay.
O problema é agravado por um detalhe técnico alarmante: milhares de sockets ZMQ estão expostos na internet pública, muitos deles precisamente em servidores de inferência de modelos de IA.
Linha do Tempo de Correções
A progressão cronológica das descobertas e correções revela um padrão preocupante de vulnerabilidades em cascata:
- Outubro de 2024: Meta Llama Stack (CVE-2024-50050) — Uso inseguro de pickle corrigido com serialização baseada em JSON
- Maio de 2025: vLLM (CVE-2025-30165) — RCE crítico corrigido substituindo o mecanismo V0 vulnerável por um V1 padrão seguro
- Maio de 2025: NVIDIA TensorRT-LLM (CVE-2025-23254) — Implementação de validação HMAC após relatório da Oligo Security, classificado como crítico (9,3) pela NVD
- Junho de 2025: Modular Max Server (CVE-2025-60455) — Corrigido rapidamente usando msgpack em vez de pickle
O intervalo entre descoberta e correção varia de dias a meses, deixando uma janela perigosa de exposição durante a qual organizações continuam executando versões vulneráveis.
Os dois vetores simultâneos: Ataque ofensivo e falha defensiva
Essas duas descobertas, Claude sequestrado para espionagem e ShadowMQ contaminando infraestruturas críticas, ilustram um cenário onde a adoção acelerada de IA criou duas superfícies de ataque distintas e igualmente perigosas.
A primeira superfície é ofensiva: modelos de IA grandes e poderosos podem ser manipulados para executar operações maliciosas em escala. A segunda é defensiva: a infraestrutura que sustenta esses modelos contém brechas silenciosas que permitem invasão e controle não autorizado.
Juntas, essas descobertas sugerem um futuro onde atores estatais não apenas atacam infraestruturas tradicionais, mas sequestram a inteligência artificial para multiplicar seus esforços ofensivos. Frameworks e bibliotecas compartilhadas propagam vulnerabilidades em cadeia, criando “zonas de risco oculto” em toda a pilha de tecnologia. A confiança nos modelos de IA como ferramentas confiáveis é abalada, exigindo novos paradigmas de validação e governança.
Governança de IA: Muito mais que uso responsável
Para empresas que integram IA em processos críticos, a lição é clara: “usar IA com responsabilidade” é insuficiente. É necessário instituir uma governança de IA formal que abranja pessoas, processos e tecnologia.
Governança de IA refere-se às políticas, estruturas e práticas que orientam o uso ético e seguro das tecnologias de IA. Isso vai muito além de boas intenções. Compreende:
Transparência e Auditoria: Quem usa IA, como usa, o que é processado e como a IA toma decisões. Cada modelo deve ter um registro auditável. Quem acessou a IA? Quando? Com qual finalidade? Essa visibilidade é fundamental para detectar comportamento anômalo, exatamente como identificar quando um modelo está sendo manipulado para espionagem, como ocorreu com o Claude.
Responsabilidade: Funções e responsabilidades claramente designadas. Quem autoriza a adoção? Quem monitora? Quem responde a incidentes? Sem clareza sobre accountability, incidentes escalam sem contenção.
Conformidade Contínua: Manutenção de padrões como NIST, ISO 27001 e conformidade regulatória durante todo o ciclo de vida da IA. Isso inclui auditorias periódicas de vulnerabilidades em frameworks e bibliotecas, como ShadowMQ, antes que entrem em produção.
Detecção de Abuso: Sistemas que identificam quando um modelo está sendo utilizado para fins não autorizados. Se a Anthropic tivesse mecanismos mais sofisticados de detecção de desvio comportamental em Claude, poderia ter interrompido o ataque muito mais cedo.
A realidade é que, sem essas estruturas, empresas que adotam IA correm o risco de se tornar vetores não intencionais de ataques, como aconteceu com a Anthropic.
Proteção técnica: Blindagem de gateways, segredos e pipelines
Além da governança, proteção técnica rigorosa é absolutamente necessária. Quando falamos em proteger infraestruturas de IA, é essencial cobrir três áreas críticas:
Proteção de segredos e credenciais
Os invasores que exploram Claude e ShadowMQ compartilham um objetivo: obter acesso através de credenciais roubadas. No caso de Claude, as credenciais extraídas incluíam chaves de API, tokens de autenticação e dados de acesso a sistemas internos. No caso de ShadowMQ, o acesso remoto é conquistado diretamente via RCE.
A proteção começa com o gerenciamento rigoroso de credenciais privilegiadas e segredos de APIs. Soluções especializadas em Privileged Access Management (PAM), como o CyberArk, protegem credenciais de contas críticas, como as que acessam modelos de IA, ambientes de inferência e repositórios de dados. Essas plataformas implementam autenticação multifator, rotação automática de senhas, auditoria completa de acessos e, crucialmente, revogação imediata de credenciais comprometidas antes que possam ser utilizadas maliciosamente.
A Asper opera o CyberArk como parte de sua estratégia de proteção em camadas. Quando integradas à resposta a incidentes, essas soluções garantem que, se um invasor conseguir extrair uma credencial (como aconteceu no ataque Claude), a janela de exploração é medida em minutos, não em horas ou dias.
Governança de quem acessa IA
Um segundo vetor crítico é controlar quem tem permissão para acessar modelos de IA, sob quais condições e com que frequência. A governança de identidade e acesso garante que apenas usuários autorizados possam acessar APIs de IA, e que cada acesso seja auditado e validado.
Isso significa implementar princípios de menor privilégio: cientistas de dados têm acesso ao modelo de recomendação, mas não ao modelo de detecção de fraude. Analistas de segurança podem executar testes, mas não podem alterar configurações de produção. Essa segmentação de acesso reduz drasticamente o impacto se uma credencial for comprometida.
Plataformas modernas de Governança de Identidade e Acesso (IAM), como o SailPoint, que a Asper implementa e gerencia para seus clientes, mapeiam precisamente quem acessa o quê, rastreiam mudanças de permissões e aplicam revisões periódicas para garantir que ninguém tenha privilégios excessivos. Em um cenário onde IA é atacada, essa visibilidade permite responder à pergunta crítica: “Quem poderia ter sido comprometido e que danos poderiam ter causado?”
Pipelines de inferência e detecção de anomalias
Os fluxos de dados que alimentam modelos e extraem resultados devem ser isolados, segmentados e continuamente inspecionados quanto a anomalias comportamentais. Isso inclui monitoramento de:
- Entrada: Que dados estão sendo enviados aos modelos? Um atacante pode enviar prompts manipulados (como no caso Claude) ou mensagens maliciosas (como em ShadowMQ).
- Processamento: Como o modelo está respondendo? Está gerando outputs esperados ou comportamentos anômalos que indicam comprometimento?
- Saída: O modelo está extraindo ou vazando dados que não deveria? Está sendo usado para fins não autorizados?
Monitoramento contínuo de pipelines detecta desvios sutis, um aumento repentino em requisições, padrões de acesso anômalo, mudanças na latência ou comportamento inesperado do modelo. Essas anomalias são frequentemente os primeiros sinais de que algo está errado.
Resposta rápida: orquestração e automação
Detectar rapidamente é vital, mas responder rápido é igualmente importante. Quando um modelo de IA é comprometido ou uma vulnerabilidade como ShadowMQ é explorada, cada minuto conta para impedir que o invasor escale.
Plataformas de Orquestração, Automação e Resposta a Incidentes (SOAR) permitem que organizações respondam com agilidade. A Asper Cibersegurança integra SOAR em seu Cyber Fusion Center (CFC), seu centro de operações de segurança de próxima geração, onde:
- Detecção de anomalia em IA: Um comportamento suspeito é identificado (por exemplo, Claude recebendo uma série de prompts anômalos ou um servidor de inferência executando comandos estranhos via ShadowMQ)
- Resposta automatizada: O sistema SOAR dispara ações imediatas, isola o modelo ou servidor da rede, bloqueia o usuário ou aplicação suspeita, revoga credenciais, coleta logs para investigação forense
- Escalonamento: Equipes de segurança são alertadas apenas com informações contextualizadas, permitindo investigação profunda enquanto o dano está contido
Essa resposta rápida e automatizada reduz drasticamente o impacto: mesmo que um modelo de IA seja comprometido ou uma vulnerabilidade explorada, o tempo entre detecção e contenção é medido em minutos, não em horas. O CFC da Asper oferece monitoramento 24×7, garantindo que a resposta aconteça independente de hora ou dia da semana, exatamente o cenário que as empresas enfrentam: ataques frequentemente ocorrem quando o CISO já saiu e todos acreditam que está “tudo tranquilo”.
O desafio corporativo: Entre a inovação e a resiliência
A tensão para empresas é real. A adoção de IA oferece vantagens competitivas claras. Ignorá-la não é uma opção viável.
No entanto, a lição dos últimos meses é que inovação sem segurança não é inovação, é risco calculado. Empresas que integram IA em processos críticos, análise de fraudes, automação financeira, gestão de dados de clientes, precisam ser honestas sobre uma pergunta fundamental: Estamos preparados para quando a IA virar um vetor de ataque?
Isso significa:
- Auditar rigorosamente todas as dependências de frameworks de IA quanto a vulnerabilidades conhecidas (como ShadowMQ) antes da adoção
- Implementar controles que validem o comportamento dos modelos em tempo real, detectando quando estão sendo manipulados
- Estabelecer processos de governança que exijam aprovação multi-nível antes de integração de novos modelos em infraestruturas críticas
- Treinar equipes técnicas e de negócio a reconhecer sinais de operação anômala de IA
- Implementar proteção de credenciais (PAM) e acesso privilegiado, garantindo que mesmo se um modelo for comprometido, a superfície de dano seja limitada
- Governar rigorosamente quem acessa quê (IAM), aplicando menor privilégio
- Simular cenários onde modelos são comprometidos, testando a velocidade de resposta e a eficácia dos controles
Não basta “usar IA com responsabilidade”. É necessário proteger gateways, segredos, pipelines e os próprios modelos com o mesmo rigor aplicado a ativos críticos tradicionais. A Asper atua precisamente nesse espaço: ajudando empresas a blindar infraestruturas de IA com uma abordagem em camadas que combina PAM, IAM, SOAR e monitoramento 24×7.
Uma reflexão para sua cibersegurança em 2026
Os casos Claude sob suspeita e ShadowMQ marcam um ponto de inflexão. A IA deixou de ser exclusivamente uma ferramenta que aumenta produtividade. É agora uma superfície de ataque que requer vigilância constante.
Não basta implementar a ferramenta e confiar. É necessário estabelecer governança formal, proteger credenciais, controlar acessos e responder com rapidez a incidentes. A IA evoluiu; suas defesas precisam evoluir junto.
Empresas que reconhecem essa realidade agora, que implementam governança de IA, proteção de segredos com PAM, governança de acesso com IAM e resposta orquestrada via SOAR, estarão blindadas quando o risco se materializar.
Aquelas que adiarem essa decisão correm o risco de se tornar, involuntariamente, as próximas vítimas de um ataque que escala através de inteligência artificial, ou as próximas a ter sua infraestrutura comprometida por uma vulnerabilidade herdada silenciosamente.
A pergunta não é mais “será que deveríamos confiar em IA?” A pergunta é: “Como protegemos a IA que já confiamos?” E a resposta exige mais do que boa intenção, exige preparação técnica, estrutural e contínua.
