Como as ferramentas de codificação de IA destruíram a fortaleza da segurança de endpoints
Os fornecedores de segurança passaram anos construindo defesas em torno dos endpoints, mas um pesquisador afirma que as ferramentas de programação de IA derrubaram essas barreiras.
A inteligência artificial tem sido aclamada por muitos como um divisor de águas para a segurança cibernética, mas um pesquisador acredita que essas novas ferramentas estão minando sistematicamente as defesas modernas.
Durante uma sessão na terça-feira da Conferência RSAC 2026 em São Francisco, Oded Vanunu, diretor de tecnologia da Check Point Software, detalhou o que ele descreve como uma “nova era” de ataques do lado do cliente possibilitados por assistentes de codificação de IA. A sessão, intitulada “Quando os Agentes de IA se Tornam Backdoors: A Nova Era das Ameaças do Lado do Cliente”, revelou uma série de vulnerabilidades em ferramentas populares como o Claude Code da Anthropic , o Codex da OpenAI e o Gemini do Google.
Vanunu contou ao Dark Reading que ele e sua equipe de pesquisa passaram o último ano investigando ferramentas de desenvolvimento de IA e logo descobriram que elas estavam comprometendo grande parte do progresso alcançado pela indústria de cibersegurança. Segundo ele, na última década, a indústria inventou “plataformas e tecnologias incríveis” para proteger melhor os endpoints e migrar a execução de aplicativos para a nuvem.
“E então, em apenas alguns meses, vimos que as ferramentas de IA estavam basicamente destruindo tudo pelo que vínhamos lutando”, diz Vanunu.
Como os assistentes de codificação de IA quebram a ‘fortaleza do ponto final’
Vanunu afirma que o risco do lado do cliente foi reduzido graças a 20 anos de avanços em cibersegurança, desde o fortalecimento de sistemas operacionais e sandboxes até a detecção e resposta de endpoints (EDR) e o isolamento de navegadores. Além disso, a transição para software como serviço (SaaS) e plataformas em nuvem transformou efetivamente os endpoints em clientes leves e reduziu drasticamente a superfície de ataque.
Mas esses avanços, que criaram uma “fortaleza de endpoint”, foram desfeitos pelos assistentes de codificação de IA , que, segundo Vanunu, “basicamente reescreveram as regras por completo”, pois exigem acesso aos sistemas de arquivos e configurações locais no endpoint do desenvolvedor.
Os desenvolvedores frequentemente atribuem aos assistentes de programação os privilégios mais elevados e concedem-lhes amplo acesso em toda a rede, o que permite que esses agentes abram caminho através das muralhas da segurança. E como esses agentes são automatizados e possuem privilégios elevados, as tecnologias de segurança têm dificuldade em monitorar suas atividades e determinar se as tarefas são maliciosas.
“Neste momento, todos os produtos de segurança são cegos. Totalmente cegos”, disse Vanunu à Dark Reading. “Eles não conseguem realmente entender ou controlar exatamente o que a IA agente está fazendo.”

A sessão de Oded Vanunu explicou como as ferramentas de programação de IA criaram uma brecha nas defesas modernas de endpoints. FONTE: Check Point Software
Para piorar a situação, Vanunu afirma que as ferramentas de IA têm um enorme ponto cego, pois tratam os arquivos de configuração como instruções de execução ativas. E embora os desenvolvedores sejam cautelosos com arquivos .exe, diz ele, são muito menos cuidadosos com arquivos .json, .env ou .toml.
Como há pouca supervisão humana nesses arquivos de configuração, agentes maliciosos podem facilmente inserir uma linha de texto aparentemente inofensiva nos metadados de configuração, fazendo com que os agentes, por exemplo, executem um comando malicioso. Os metadados nesses arquivos de configuração estão “se tornando o maior inimigo dessas organizações”, afirma Vanunu, porque são frequentemente negligenciados.
“O que estamos vendo é que os atacantes basicamente não precisam mais criar malware”, diz ele. “Eles podem simplesmente usar arquivos de configuração.”
Vulnerabilidades em assistentes de codificação de IA
A equipe de pesquisa da Vanunu descobriu seis vulnerabilidades em diversas ferramentas populares de programação de IA, que já haviam sido divulgadas e corrigidas pelos fornecedores. A primeira, CVE-2025-59536, é uma falha de alta gravidade no Claude Code que permite que um invasor engane a ferramenta para executar código malicioso contido em um projeto antes que o usuário aceite a caixa de diálogo de confiança inicial.
Vanunu explica que os atacantes podem explorar a falha para transformar os Claude Code Hooks em armas , que são comandos de shell definidos pelo usuário projetados para serem executados automaticamente e burlar os produtos de detecção e resposta de endpoints (EDR).
Um agente malicioso também poderia criar uma forma de burlar o protocolo de contexto de modelo (MCP). Embora o Claude exija o consentimento do usuário para que os plug-ins do servidor MCP sejam executados, o Claude Code lê as configurações automaticamente, o que permite que servidores MCP maliciosos executem comandos nesses arquivos antes que a caixa de diálogo de confiança seja exibida.
Na CLI do OpenAI Codex, a equipe encontrou uma falha de injeção de código, CVE-2025-61260 ( pontuação CVSS pendente), que poderia ser usada em ataques semelhantes. Um atacante poderia usar um arquivo .env do projeto para redirecionar a CLI para um arquivo de configuração .toml local malicioso. Esse arquivo, então, conecta-se a servidores MCP controlados pelo atacante , fazendo com que a ferramenta de codificação execute comandos imediatamente, sem autorização humana.
A equipe de pesquisa também descobriu a vulnerabilidade CVE-2025-54136, uma vulnerabilidade de execução remota de código (RCE) de alta gravidade no Cursor, uma plataforma de codificação de IA. Quando um desenvolvedor aprova um comando do servidor MCP, o Cursor vincula a autorização ao nome do plug-in em vez do hash do conteúdo aprovado. Isso permite que um agente malicioso execute um “ataque de troca”, no qual ele envia um comando legítimo e, após a aprovação, atualiza o plug-in com uma carga maliciosa.
Por fim, a sessão de Vanunu detalhou uma falha no Gemini CLI do Google, que ainda não possui um CVE atribuído, e que permite que agentes maliciosos disfarcem comandos maliciosos como scripts legítimos em arquivos de documentação. Um atacante pode inserir comandos maliciosos em um arquivo GEMINI.md, que a ferramenta executará silenciosamente sem a aprovação ou supervisão do usuário.
Mitigando os riscos cibernéticos dos agentes de IA
Embora todas as quatro empresas tenham corrigido a falha, Vanunu afirma que elas revelam caminhos de ataque perigosos que agentes maliciosos podem explorar facilmente. Elas também mostram que “os desenvolvedores são o novo perímetro”.
Para mitigar essas ameaças, ele recomenda que as organizações comecem realizando uma auditoria completa em sua estrutura para identificar toda a tecnologia de IA em uso, especialmente as ferramentas de ” IA paralela “, e para analisar todos os metadados de configuração e projeto em busca de conteúdo suspeito.
Em segundo lugar, ele recomenda que as organizações implementem o isolamento para suas ferramentas de codificação e exijam que todas as tarefas de shell automatizadas por IA sejam executadas primeiro em ambientes de teste (sandboxes). E, por último, ele incentiva as equipes de segurança a adotarem uma política de “Configuração = Código” que trate as estações de trabalho dos desenvolvedores como um ambiente de confiança zero, onde o texto não pode ser executado sem verificação.
“Em resumo, este é o novo perímetro”, diz Vanunu. “E precisamos reformular a segurança.”
Fonte: Dark Reading por Rob Wright,Senior News Director,Dark Reading
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Pessoas estão armazenando grandes volumes de dados em smartphones
- Estado do Ransomware em 2026
- CISA alerta para que correção de falhas do SharePoint
- Microsoft corrige várias falhas do RDP
- Hackers abusam de códigos OAuth e cadastro do Entra IDs
- IA amplia pressão sobre equipes de segurança e vulnerabilidades críticas dobram
- A era do dashboard perfeito acabou
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC

Be the first to comment