O primeiro ataque cibernético realizado por IA: uma mudança no cenário de segurança

Em setembro de 2025, a Anthropic, a dona do Claude, identificou o que pode ser considerado o primeiro ataque automatizado realizado com o auxílio de IA, atingindo 30 empresas e marcando uma mudança significativa na forma como os criminosos digitais operam.

O episódio 408 do podcast Segurança Legal discute um relatório divulgado pela Anthropic, empresa responsável pelo modelo Claude, sobre uma sofisticada operação de ciberataque que utilizou inteligência artificial para automatizar diversas etapas de invasão. O mais preocupante não é apenas a ocorrência do ataque em si, mas o que ele representa: a facilitação da implementação de técnicas avançadas de invasão, permitindo que pessoas com menos conhecimento técnico executem operações complexas que antes exigiam expertise especializada.

Como funcionou o ataque

Os criminosos, identificados com alto grau de confiança como um grupo financiado pelo Estado chinês, desenvolveram uma estrutura de agentes de IA equipados com ferramentas específicas para cada fase do ataque. Utilizando o protocolo MCP (Model Context Protocol), eles criaram interfaces que permitiram à IA usar ferramentas de segurança comuns de forma automatizada.

O ataque foi dividido em quatro fases principais: reconhecimento (com varredura de rede e levantamento de dados), identificação de vulnerabilidades (busca de ferramentas de exploração), exploração efetiva das falhas e movimento lateral (coleta de credenciais e acesso a outros sistemas). "Eles quebraram o ataque todo em várias etapas e meio que isolaram os agentes para evitar que o modelo detectasse uma atividade maliciosa acontecendo", explica Vinícius Serafim.

O que são agentes de IA e por que eles importam

Para compreender a dimensão desta ameaça, é fundamental entender o conceito de agentes de IA. Diferente de uma simples consulta ao ChatGPT, um agente é uma IA equipada com ferramentas que permitem interagir com o ambiente digital de forma autônoma. Como destaca Guilherme Goulart: "A IA ainda é muito dependente do que a gente pede para ela fazer, e esses movimentos que a gente tem visto nos últimos tempos mostram que a gente tá ainda dando os primeiros passos rumo a uma autonomia maior da IA".

No caso do ataque, os criminosos forneceram ao modelo ferramentas de código aberto amplamente disponíveis na internet, como o Nmap para varredura de portas, e criaram prompts cuidadosamente elaborados para contornar as proteções de segurança do modelo. Essas ferramentas, tradicionalmente operadas manualmente por hackers, foram integradas ao sistema através de interfaces que permitiram à IA executá-las, analisar os resultados e tomar decisões sobre os próximos passos.

Principais insights do episódio

Automatização como novo padrão: Este não foi um caso de IA agindo de forma autônoma ou "enlouquecida", mas sim uma ferramenta poderosa nas mãos de criminosos experientes. A grande inovação está na capacidade de automatizar processos complexos que anteriormente exigiam intervenção humana constante, permitindo ataques em escala sem precedentes.

Redução da barreira técnica: Como alerta Vinícius Serafim, "baixou o sarrafo para ataques mais sofisticados, porque agora pessoas com menos conhecimento vão conseguir fazer ataques mais complexos que antes elas não conseguiam fazer". Isso significa que o chamado "script kiddie" - aquele indivíduo com conhecimento limitado que executa ferramentas prontas - agora tem acesso a capacidades que antes eram exclusivas de especialistas.

Segmentação estratégica: Os atacantes dividiram deliberadamente o ataque em etapas isoladas, usando diferentes agentes para cada fase. Esta estratégia impediu que os mecanismos de segurança do modelo identificassem a natureza maliciosa da operação como um todo, já que cada tarefa individualmente parecia legítima.

Independência de plataforma: Embora o ataque tenha utilizado o Claude da Anthropic, a estrutura desenvolvida poderia facilmente ser adaptada para qualquer outro modelo de IA, seja GPT, Gemini ou até modelos open-source executados localmente. "Esses caras aqui mudam pro ChatGPT e vão ter que ajustar talvez um prompt ou outro, mas eles podem usar o GPT, podem usar o Gemini, podem usar o Grok", observa Serafim.

Assimetria defensiva: A defesa cibernética sempre foi um jogo assimétrico, mas a IA intensifica esse desequilíbrio. Como explica Guilherme Goulart: "Quem defende tem que encontrar todos os furos, todas as possibilidades de entrada num ambiente. Quem ataca só tem que encontrar um". Com a IA acelerando a capacidade de identificação e exploração de vulnerabilidades, essa assimetria se torna ainda mais pronunciada.

O futuro da ameaça

Este ataque representa apenas o começo de uma nova era na segurança cibernética. Atualmente, a automação focou em metodologias conhecidas e vulnerabilidades já documentadas, mas o próximo passo inevitável será a descoberta de vulnerabilidades zero-day - falhas desconhecidas que não possuem correção disponível.

"Tu sempre assume que tu tá usando a pior IA, que a IA que tu tá usando hoje é a pior que já existiu. A coisa só vai melhorar", adverte Serafim, citando o livro de Ethan Mollick. À medida que os modelos se tornam mais potentes e acessíveis, incluindo versões que podem ser executadas localmente sem restrições de segurança, a capacidade de realizar ataques sofisticados continuará se expandindo.

Lições para organizações

Para empresas e profissionais de segurança, este incidente serve como um alerta urgente. A automatização de ataques significa que vulnerabilidades conhecidas em sistemas desatualizados serão exploradas mais rapidamente e em maior escala. As organizações precisam priorizar a atualização de sistemas, implementar estratégias robustas de detecção de ameaças e considerar o uso de IA também para fortalecer suas defesas.

A Anthropic publicou o relatório completo com detalhes técnicos e está utilizando as lições aprendidas para reforçar os mecanismos de segurança do Claude. No entanto, como destacam os apresentadores, a solução não está apenas nas mãos das empresas de IA, mas também nas organizações que precisam reconhecer e se adaptar a esta nova realidade de ameaças.

Conclusão

O ataque analisado neste episódio representa um marco histórico na evolução das ameaças cibernéticas. Não se trata de ficção científica ou de uma IA mal-intencionada agindo por conta própria, mas sim de criminosos sofisticados que encontraram formas de amplificar suas capacidades através da automação inteligente.

Como enfatiza o podcast, "isso é só o começo". As organizações que não levarem a sério esta transformação no cenário de ameaças estarão cada vez mais vulneráveis a ataques automatizados, escaláveis e cada vez mais sofisticados.

Quer se manter atualizado sobre as últimas tendências em segurança da informação e proteção de dados? Acesse o relatório completo da Anthropic nos show notes do episódio e considere apoiar o podcast Segurança Legal através do Apoia.se para garantir a continuidade deste projeto independente de produção de conhecimento.