Agente de IA executa ataque de ransomware contra banco de dados de empresa
Escrito por Mariana Silva
AtualizadoPesquisadores da Sysdig, empresa especializada em segurança em nuvem, identificaram o que descrevem como o primeiro ataque de ransomware conduzido quase inteiramente por um agente autônomo de inteligência artificial. Nomeada de JadePuffer, a operação utilizou um modelo de linguagem de grande escala (LLM, na sigla em inglês) para executar praticamente todas as etapas da invasão sem a necessidade de comandos humanos contínuos.
Na prática, o agente foi capaz de identificar uma vulnerabilidade, invadir os sistemas, roubar credenciais de acesso, movimentar-se entre diferentes servidores da empresa, manter o acesso ativo, obter permissões de administrador e, por fim, criptografar os dados para exigir o pagamento de resgate. O relatório foi publicado pela Sysdig em 1º de julho de 2026.
O ataque começou explorando a vulnerabilidade CVE-2025-3248, uma falha de segurança no Langflow (plataforma open-source amplamente utilizada para desenvolver aplicações com agentes de IA). Essa vulnerabilidade permitia a chamada execução remota de código, ou seja, a possibilidade de um invasor executar comandos no servidor pela internet sem precisar fazer login. Embora a correção estivesse disponível desde abril de 2025, alguns servidores permaneciam desatualizados e expostos à internet.
Depois de obter acesso ao servidor, o agente extraiu o banco de dados interno, coletou informações sobre o ambiente, procurou arquivos sensíveis e variáveis de ambiente, onde normalmente ficam armazenadas credenciais e chaves de acesso e também identificou um armazenamento de objetos MinIO, tecnologia semelhante a um serviço de armazenamento em nuvem.
Em seguida, instalou um cron job, um recurso que agenda tarefas automáticas em sistemas Linux. Essa tarefa fazia contato com a infraestrutura do atacante a cada 30 minutos, funcionando como um "check-in" periódico para manter o controle da máquina comprometida mesmo após reinicializações. Em segurança da informação, esse mecanismo é conhecido como persistência, pois permite que o invasor continue acessando o sistema mesmo depois que ele é reiniciado.
A partir do servidor do Langflow, o agente avançou para um servidor MySQL de produção que executava o Alibaba Nacos, uma plataforma utilizada para armazenar configurações e gerenciar serviços em ambientes de computação em nuvem. Os pesquisadores não conseguiram determinar como o agente obteve as credenciais de administrador (root) usadas nesse acesso.
Já dentro do Nacos, o agente executou diferentes payloads (nome dado aos comandos enviados para explorar vulnerabilidades) incluindo um que aproveitava a CVE-2021-29441, uma falha que permitia contornar o sistema de autenticação e criar contas administrativas sem autorização.
O ataque terminou com a criptografia de 1.342 itens de configuração armazenados no Nacos utilizando a função AES_ENCRYPT() do MySQL, responsável por cifrar os dados. As tabelas originais foram apagadas e substituídas por outra contendo a mensagem de resgate, um endereço de carteira Bitcoin para pagamento e um contato no Proton Mail.
O que diferencia o JadePuffer?
O diferencial do JadePuffer não está nas técnicas utilizadas, mas na forma como elas foram executadas. Em vez de depender de um operador humano conduzindo cada etapa da invasão, o agente de IA conseguiu combinar técnicas já conhecidas em uma cadeia de ataque automatizada e adaptativa.
Durante a operação, o agente executou mais de 600 ações. Em um dos momentos, por exemplo, uma resposta do sistema veio em formato XML quando o esperado era JSON. Em vez de interromper o ataque, o próprio agente identificou a diferença e ajustou automaticamente a lógica utilizada para interpretar os dados. Em outra situação, detectou uma tentativa de login malsucedida e gerou uma correção funcional em apenas 31 segundos.
Outro indício importante da utilização de inteligência artificial foi encontrado nos próprios comandos executados. Os payloads continham comentários em linguagem natural explicando o objetivo de cada etapa do ataque, um comportamento pouco comum em invasões conduzidas manualmente, mas bastante característico de códigos gerados por modelos de linguagem.
Operação ainda teve direção humana
Apesar do alto nível de automação, a operação não foi totalmente independente. Segundo a Sysdig, um operador humano preparou a infraestrutura utilizada no ataque, incluindo os servidores responsáveis por controlar a operação e armazenar os dados roubados, além de escolher a vítima e definir os objetivos da invasão. A inteligência artificial ficou responsável por executar praticamente todas as etapas técnicas do ataque.
Para os pesquisadores, o caso representa o surgimento dos chamados atores de ameaça agênticos: grupos criminosos que utilizam agentes baseados em LLMs para automatizar tarefas que antes exigiam conhecimento técnico avançado. Na prática, isso reduz a barreira de entrada para ataques sofisticados e pode aumentar o número de criminosos capazes de realizar invasões complexas. Ao mesmo tempo, segundo a Sysdig, esse tipo de automação também cria novas oportunidades para ferramentas de segurança identificarem comportamentos suspeitos durante os ataques.
Como a vulnerabilidade explorada no Langflow foi corrigida ainda em abril de 2025, a principal recomendação é manter servidores e aplicações sempre atualizados. Empresas que utilizam Langflow ou outras plataformas para desenvolvimento de agentes de IA também devem evitar expor esses serviços diretamente à internet sem as devidas medidas de proteção, já que falhas conhecidas continuam sendo uma das principais portas de entrada para ataques desse tipo.

