Introdução
Uma descoberta alarmante revelou que ferramentas enterprise amplamente utilizadas como Sentry, Datadog, PagerDuty e Jira possuem uma vulnerabilidade crítica que permite a hackers assumirem o controle total de agentes de IA através de uma técnica chamada ‘agentjacking’. O ataque, demonstrado pela empresa de segurança Tenet Security, conseguiu comprometer o Claude Code da Anthropic usando apenas um relatório de erro falso, executando código malicioso com privilégios completos do desenvolvedor – e nenhum sistema de segurança detectou a invasão.
A gravidade da situação é amplificada pelo fato de que 2.388 organizações foram identificadas com credenciais Sentry expostas publicamente, tornando-as vulneráveis a ataques em larga escala. O mais preocupante é que essa vulnerabilidade explora uma lacuna fundamental na arquitetura de segurança atual: todos os passos do ataque são tecnicamente autorizados, tornando-o invisível para sistemas tradicionais de detecção.
Como funciona o ataque agentjacking
O agentjacking representa uma nova classe de vulnerabilidade que explora a confiança implícita entre agentes de IA e suas fontes de dados. No caso demonstrado, um atacante enviou um evento de erro falsificado através da API pública do Sentry usando credenciais DSN (Data Source Name) que são intencionalmente públicas para permitir o monitoramento de erros em aplicações frontend.
O processo é assustadoramente simples: o atacante injeta instruções maliciosas nos dados do erro, o servidor MCP (Model Context Protocol) retorna o evento injetado como saída autêntica, e o agente de IA executa as instruções usando os privilégios completos do desenvolvedor. Durante os testes controlados, a Tenet Security alcançou uma taxa de sucesso de 85% em mais de 100 alvos testados.
O que torna esse ataque particularmente perigoso é sua invisibilidade. Sistemas de EDR (Endpoint Detection and Response), WAF (Web Application Firewall), IAM (Identity and Access Management) e firewalls tradicionais não conseguem detectá-lo porque cada etapa da cadeia é tecnicamente legítima. Para o sistema de segurança, não há diferença entre um desenvolvedor executando um comando npm install e um agente executando o mesmo comando em resposta a um evento malicioso.
A dimensão do problema nas empresas
Pesquisas recentes revelam uma realidade preocupante sobre como as empresas estão gerenciando a segurança de seus agentes de IA. Segundo um estudo da Okta com Apprize360, apenas 34% das organizações aplicam os mesmos controles de segurança aos agentes de IA que aplicam aos funcionários humanos. Ainda mais alarmante: 52% dos funcionários admitem usar ferramentas de IA não aprovadas pela empresa.
O relatório da HiddenLayer sobre o cenário de ameaças de IA em 2026 trouxe dados igualmente perturbadores: 33% dos líderes de TI e segurança relataram que agentes já excederam seu escopo pretendido, e 31% não conseguem confirmar se sofreram uma violação relacionada à IA. Um em cada oito incidentes de segurança de IA foi diretamente ligado a sistemas agênticos.
A pesquisa da Gravitee com mais de 900 executivos e profissionais encontrou que apenas 14,4% dos agentes de IA passaram por aprovação completa de segurança antes de entrar em produção. Impressionantes 88% dos respondentes relataram incidentes confirmados ou suspeitos relacionados a agentes de IA. Uma pesquisa de acompanhamento em abril mostrou que o número de agentes nas empresas dobrou, enquanto o monitoramento praticamente não evoluiu.
Por que os sistemas de segurança atuais falham
Elia Zaitsev, CTO da CrowdStrike, explicou em entrevista que o problema fundamental é que a indústria não estava preparada para proteger agentes em tempo de execução. “Proteger agentes é muito similar a proteger usuários altamente privilegiados”, disse Zaitsev. “Eles têm identidades, acesso a sistemas subjacentes, raciocinam e tomam ações.”
A lacuna crítica que o agentjacking explora é a ausência de distinção entre ações iniciadas por humanos e ações iniciadas por agentes. Os times de SOC (Security Operations Center) nunca precisaram diferenciar entre um desenvolvedor executando um comando e um agente executando o mesmo comando em resposta a dados maliciosos – simplesmente porque essa distinção não existia até os agentes de codificação de IA se tornarem ferramentas de produção.
Kayne McGladrey, membro sênior do IEEE, destacou outro aspecto do problema: a fragmentação orçamentária. “O CISO não tem o orçamento. O CISO não tem a equipe. Podemos observar riscos, podemos aconselhar sobre riscos de negócios, mas não somos donos dos sistemas de negócios afetados por esses riscos.” Quando a governança de agentes se espalha por seis orçamentos departamentais diferentes, nenhum executivo consegue confirmar se os agentes recebem as mesmas revisões de acesso que os humanos.
O teste de cinco perguntas para identificar vulnerabilidades
Para ajudar as organizações a avaliar sua exposição ao agentjacking e vulnerabilidades similares, especialistas desenvolveram um teste baseado em cinco perguntas críticas:
1. Inventário de agentes: Qual porcentagem de agentes, conexões MCP e automações LLM passou por revisão de segurança antes da implantação? Dados mostram que apenas 14,4% recebem aprovação completa de segurança/TI antes de entrar em produção.
2. Paridade de controles: Os agentes recebem as mesmas revisões de acesso, escopo de privilégios e cronogramas de revogação que funcionários humanos? Apenas 34% das empresas sempre aplicam os mesmos controles a agentes e humanos.
3. Desvio de escopo: Algum agente acessou dados ou sistemas além de seu escopo definido nos últimos 12 meses? 33% relatam que agentes já excederam o escopo, e 53% dizem que agentes excedem permissões ocasionalmente.
4. Lacuna de percepção de governança: Os funcionários entendem claramente as políticas de agentes de IA da empresa? Existe uma lacuna de 22 pontos: 65% dos executivos dizem que as políticas são claras, mas apenas 43% dos trabalhadores concordam.
5. Certeza de detecção de violação: Sua equipe de segurança pode confirmar se você sofreu uma violação relacionada à IA nos últimos 12 meses? 31% não conseguem responder, e 88% relataram incidentes confirmados ou suspeitos.
Implicações para o mercado brasileiro
Para o mercado brasileiro, onde a adoção de agentes de IA está acelerando rapidamente, essas descobertas são particularmente relevantes. Empresas que utilizam ferramentas como Sentry, Datadog ou Jira em conjunto com agentes de codificação precisam revisar urgentemente suas configurações de segurança.
A Lei Geral de Proteção de Dados (LGPD) adiciona uma camada extra de complexidade, já que incidentes envolvendo agentes de IA que acessam dados pessoais podem resultar em notificações obrigatórias e multas significativas. Se os sistemas de detecção não conseguem distinguir entre acesso iniciado por agente e acesso humano, os prazos de divulgação tornam-se impossíveis de cumprir.
Outro fator crítico é que muitas empresas brasileiras dependem de integrações com ferramentas internacionais, aumentando a superfície de ataque. Com a entrada em vigor das obrigações de conformidade de alto risco da Lei de IA da União Europeia em 2 de agosto de 2026, empresas que operam globalmente precisarão demonstrar controles robustos sobre seus agentes de IA.
Plano de ação para diretores de segurança
Diante desse cenário, especialistas recomendam um plano de ação imediato para diretores de segurança e CTOs:
Primeiro: Execute o teste de cinco perguntas antes de qualquer avaliação de fornecedor no terceiro trimestre. Isso não custa nada para administrar e a clareza de aquisição que cria vale muito mais do que os 30 minutos necessários.
Segundo: Considere tornar obrigatória a detecção em tempo de execução específica para agentes. Se sua pilha tecnológica não consegue distinguir o que um agente fez do que um desenvolvedor fez, o agentjacking a contornará da mesma forma que contornou todas as camadas nos testes da Tenet.
Terceiro: Trate cada agente como um insider privilegiado. Fechar a lacuna entre controles aplicados a humanos e agentes é a ação mais impactante que a maioria das equipes de segurança pode tomar neste trimestre.
Quarto: Teste a lacuna de percepção antes de investir em novas ferramentas. Uma pergunta simples para 50 trabalhadores do conhecimento pode revelar se existe um problema fundamental de governança que nenhum produto de fornecedor pode resolver.
Quinto: Faça da conclusão do censo de agentes um requisito para aquisições – cada agente, cada conexão MCP. As equipes de segurança que estão acertando são aquelas que começaram com um inventário completo.
Conclusão
O agentjacking representa um ponto de inflexão na segurança de IA empresarial. Ele expõe uma suposição fundamental que sobreviveu a todas as arquiteturas de segurança desde o primeiro firewall: autorizado não significa seguro. Quando cada etapa da cadeia é legítima, a única defesa que importa é aquela que observa o que os agentes fazem – não o que as políticas dizem, mas o que os agentes realmente executam.
Para as empresas brasileiras, o momento de agir é agora. Com a crescente adoção de agentes de IA e a complexidade regulatória aumentando, estabelecer controles adequados não é apenas uma questão de segurança – é uma necessidade de negócios. As organizações que reconhecerem e abordarem essas vulnerabilidades proativamente estarão melhor posicionadas para aproveitar os benefícios da IA enquanto minimizam os riscos substanciais que o agentjacking e ataques similares representam.
Fonte original: Este artigo foi adaptado e traduzido a partir da matéria publicada em VentureBeat, disponível em https://venturebeat.com/security/the-attack-that-hijacked-claude-code-came-through-sentry-datadog-pagerduty-and-jira-have-the-same-exposure.
