Um novo estudo do AI Now Institute revelou uma vulnerabilidade crítica em agentes de codificação de IA, como Claude Code da Anthropic e Codex da OpenAI, que pode permitir que código malicioso seja executado em máquinas dos usuários. Denominado ‘Friendly Fire’, o ataque ocorre quando esses agentes operam em modo autônomo, onde eles aprovam seus próprios comandos. Os pesquisadores demonstraram que, ao solicitar uma verificação de segurança em código de terceiros, o agente pode inadvertidamente executar um código malicioso disfarçado como um arquivo inofensivo. O ataque se aproveita da confiança que os agentes têm em arquivos README.md, que são comuns em repositórios de código. Embora não haja um patch disponível, a solução proposta envolve mudanças nos fluxos de trabalho para evitar que código não confiável seja analisado por esses agentes. A pesquisa destaca a necessidade urgente de cautela ao utilizar ferramentas de IA para auditoria de segurança, especialmente em ambientes onde a segurança de dados sensíveis é crítica.
Fonte: https://thehackernews.com/2026/07/friendly-fire-ai-agents-built-to-catch.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
09/07/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade em agentes de IA pode permitir execução de código malicioso
RESUMO EXECUTIVO
A vulnerabilidade identificada pode permitir a execução de código malicioso em sistemas que utilizam IA para auditoria de segurança. Isso representa um risco significativo para a integridade dos dados e a segurança operacional das empresas, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Execução não autorizada de código malicioso em máquinas dos usuários.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Saúde']
📊 INDICADORES CHAVE
Três patches foram lançados para injeção de arquivos de configuração nos últimos seis meses.
Indicador
O ataque foi demonstrado em dois modelos de IA diferentes.
Contexto BR
O ataque teve uma taxa de sucesso de 85% em testes anteriores.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar as configurações dos agentes de IA e desativar modos autônomos.
2
Implementar políticas que proíbam a execução de código não verificado por agentes de IA.
3
Monitorar continuamente a execução de scripts e binários em ambientes de desenvolvimento.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas, especialmente ao integrar ferramentas de IA que podem ser exploradas por atacantes.
⚖️ COMPLIANCE
Implicações para a LGPD e a segurança de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).