Em 30 de março, Além da confiança provou que um nome de department criado no GitHub poderia roubar o token OAuth do Codex em texto não criptografado. OpenAI classificou-o como Crítico P1. Dois dias depois, o código-fonte do Claude Code da Anthropic foi derramado no registro público do npm e, em poucas horas, Adversa descobriu que Claude Code ignorou silenciosamente suas próprias regras de negação quando um comando excedeu 50 subcomandos. Estes não foram bugs isolados. Eles foram os mais recentes em nove meses: seis equipes de pesquisa divulgaram explorações contra Codex, Claude Code, Copilot e Vertex AI, e todas as explorações seguiram o mesmo padrão. Um agente de codificação de IA possuía uma credencial, executava uma ação e period autenticado em um sistema de produção sem uma sessão humana que ancorasse a solicitação.
A superfície de ataque foi demonstrada pela primeira vez no Black Hat USA 2025, quando o CTO da Zenity Michael Bargury sequestrado ChatGPT, Microsoft Copilot Studio, Google Gemini, Salesforce Einstein e Cursor com Jira MCP no palco com zero cliques. Nove meses depois, essas credenciais foram alcançadas pelos invasores.
Merritt Baer, CSO da Enkrypt AI e ex-vice-CISO da AWS, mencionou a falha em uma entrevista exclusiva da VentureBeat. “As empresas acreditam que ‘aprovaram’ os fornecedores de IA, mas o que realmente aprovaram foi uma interface, não o sistema subjacente.” As credenciais abaixo da interface são a violação.
Codex, onde o nome de uma filial roubou tokens do GitHub
Além da confiança o pesquisador Tyler Jespersen, com Fletcher Davis e Simon Stewart, encontrou repositórios clonados do Codex usando um token GitHub OAuth incorporado na URL remota do git. Durante a clonagem, o parâmetro do nome da ramificação fluiu sem limpeza para o script de configuração. Um ponto e vírgula e um subshell de crase transformaram o nome da filial em uma carga útil de exfiltração.
Stewart adicionou a furtividade. Ao anexar 94 caracteres de espaço ideográfico (Unicode U+3000) após “principal”, o department malicioso parecia idêntico ao department principal padrão no portal Codex. Um desenvolvedor vê “principal”. O shell vê curl exfiltrando seu token. A OpenAI classificou-o como Crítico P1 e enviou a correção completa até 5 de fevereiro de 2026.
Claude Code, onde dois CVEs e um desvio de 50 subcomandos quebraram a sandbox
CVE-2026-25723 atingiu as restrições de gravação de arquivos de Claude Code. Os comandos sed e echo canalizados escaparam da sandbox do projeto porque o encadeamento de comandos não foi validado. Remendado em 2.0.55. CVE-2026-33068 period mais sutil. Claude Code resolveu os modos de permissão de .claude/settings.json antes de mostrar a caixa de diálogo de confiança do espaço de trabalho. Um repositório malicioso definiu permissions.defaultMode para bypassPermissions. O immediate de confiança nunca apareceu. Remendado em 2.1.53.
O desvio de 50 subcomandos pousou por último. Adversa descobriu que Claude Code abandonou silenciosamente a aplicação da regra de negação quando um comando excedeu 50 subcomandos. Os engenheiros da Anthropic trocaram segurança por velocidade e pararam de verificar depois do quinquagésimo. Remendado em 2.1.90.
“Uma vulnerabilidade significativa na IA corporativa é o controle de acesso quebrado, onde o plano de autorização plano de um LLM não respeita as permissões do usuário”, escreveu Carter Rees, vice-presidente de IA e aprendizado de máquina da Reputação e membro da Comissão de IA de Utah. O repositório decidiu quais permissões o agente tinha. O orçamento simbólico decidiu quais regras de negação sobreviveriam.
Copilot, onde uma descrição de solicitação pull e um problema do GitHub se tornaram raiz
Johann Rehberger demonstrado CVE-2025-53773 contra GitHub Copilot com Markus Vervier da Segurança Persistente como co-descobridor. Instruções ocultas nas descrições de PR fizeram com que o Copilot mudasse o modo de aprovação automática em .vscode/settings.json. Isso desativou todas as confirmações e concedeu execução irrestrita de shell no Home windows, macOS e Linux. A Microsoft corrigiu-o no lançamento do Patch Tuesday de agosto de 2025.
Então, Orca Segurança Copilot crackeado dentro do GitHub Codespaces. Instruções ocultas em um problema do GitHub manipularam o Copilot para verificar um PR malicioso com um hyperlink simbólico para /workspaces/.codespaces/shared/user-secrets-envs.json. Um URL de esquema JSON $ criado extraiu o GITHUB_TOKEN privilegiado. Aquisição completa do repositório. Nenhuma interação do usuário além da abertura do problema.
Mike Riemer, CTO da Ivanti, enquadrou a dimensão da velocidade em uma entrevista à VentureBeat: “Os atores da ameaça são patches de engenharia reversa dentro de 72 horas. Se um cliente não corrigir dentro de 72 horas após o lançamento, eles estarão abertos para exploração”. Os agentes compactam essa janela em segundos.
Vertex AI, onde os escopos padrão alcançaram o Gmail, o Drive e a própria cadeia de suprimentos do Google
Unidade 42 o pesquisador Ofir Shaty descobriu que a identidade de serviço padrão do Google anexada a cada agente da Vertex AI tinha permissões excessivas. As credenciais P4SA roubadas concederam acesso de leitura irrestrito a todos os buckets do Cloud Storage no projeto e alcançaram repositórios restritos do Artifact Registry de propriedade do Google no núcleo do Vertex AI Reasoning Engine. Shaty descreveu o P4SA comprometido como funcionando como um “agente duplo”, com acesso aos dados do usuário e à própria infraestrutura do Google.
Grade de defesa VentureBeat
|
Requisito de segurança |
Defesa enviada |
Caminho de exploração |
A lacuna |
|
Execução do agente Sandbox AI |
Codex executa tarefas em contêineres de nuvem; token limpo durante o tempo de execução do agente. |
Token presente durante a clonagem. Injeção de comando de nome de filial executada antes da limpeza. |
Nenhuma sanitização de entrada nos parâmetros de configuração do contêiner. |
|
Restringir o acesso ao sistema de arquivos |
Os sandboxes do Claude Code gravam por meio do modo de aceitação de edições. |
Sandbox com escape de sed/echo canalizado (CVE-2026-25723). Settings.json ignorou a caixa de diálogo de confiança (CVE-2026-33068). A cadeia de 50 subcomandos abandonou a aplicação da regra de negação. |
Encadeamento de comandos não validado. Configurações carregadas antes da confiança. Negar regras truncadas para desempenho. |
|
Bloquear injeção de immediate no contexto do código |
O Copilot filtra as descrições de PR para padrões de injeção conhecidos. |
Injeções ocultas em PRs, arquivos README e problemas do GitHub acionaram o RCE (CVE-2025-53773 + Orca RoguePilot). |
A correspondência de padrões estáticos perde para prompts incorporados em revisões legítimas e fluxos de Codespaces. |
|
Escopo das credenciais do agente para privilégios mínimos |
O Vertex AI Agent Engine usa agente de serviço P4SA com escopos OAuth. |
Os escopos padrão atingiram Gmail, Agenda e Drive. As credenciais P4SA leem todos os buckets do Cloud Storage e o Artifact Registry do Google. |
Escopos OAuth não editáveis por padrão. Menor privilégio violado por design. |
|
Inventariar e governar identidades de agentes |
Nenhum grande fornecedor de agentes de codificação de IA fornece descoberta de identidade de agente ou gerenciamento de ciclo de vida. |
Não tentado. As empresas não inventariam os agentes de codificação de IA, suas credenciais ou seus escopos de permissão. |
Os agentes de codificação de IA são invisíveis para IAM, CMDB e inventário de ativos. Existe governança zero. |
|
Detectar exfiltração de credenciais do tempo de execução do agente |
Codex oculta tokens na visualização do portal da net. Claude Code registra subcomandos. |
Tokens visíveis em texto não criptografado dentro de contêineres. A ofuscação Unicode ocultou cargas exfil. O encadeamento de subcomandos ocultou a intenção. |
Sem monitoramento de tempo de execução de chamadas de rede de agentes. O truncamento do log ocultou o desvio. |
|
Audite o código gerado pela IA em busca de falhas de segurança |
Antrópico lançado Segurança do Código Claude (fevereiro de 2026). Lançada OpenAI Segurança do Códice (março de 2026). |
Ambos verificam o código gerado. Nenhum dos dois verifica o próprio ambiente de execução ou manipulação de credenciais do agente. |
A segurança de saída de código não é segurança de tempo de execução do agente. O próprio agente é a superfície de ataque. |
Cada exploração visava credenciais de tempo de execução, não a saída do modelo
Cada fornecedor enviou uma defesa. Todas as defesas foram contornadas.
O Pesquisa de desenvolvedores sobre o estado do código do Sonar 2026 descobriram que 25% dos desenvolvedores usam agentes de IA regularmente e 64% começaram a usá-los. Veracode testou mais de 100 LLMs e descobriu que 45% das amostras de código geradas apresentavam as 10 principais falhas do OWASP, uma falha separada que agrava a lacuna de credenciais de tempo de execução.
O CTO da CrowdStrike, Elia Zaitsev, estruturou a regra em uma entrevista exclusiva da VentureBeat no RSAC 2026: recolher as identidades dos agentes de volta ao humano, porque um agente agindo em seu nome nunca deve ter mais privilégios do que você. O Codex mantinha um token GitHub OAuth com escopo para cada repositório autorizado pelo desenvolvedor. O P4SA da Vertex AI lê todos os buckets do Cloud Storage no projeto. Claude Code trocou a aplicação da regra de negação por um orçamento simbólico.
Kayne McGladrey, membro sênior do IEEE que assessora empresas sobre riscos de identidade, fez o mesmo diagnóstico em entrevista exclusiva ao VentureBeat. “Ele usa muito mais permissões do que deveria, mais do que um ser humano usaria, devido à velocidade da escala e da intenção.”
Riemer traçou a linha operacional em uma entrevista exclusiva da VentureBeat. “Acontece que eu não conheço você até validá-lo.” O nome do department conversava com o shell antes da validação. O problema do GitHub conversou com o Copilot antes que alguém o lesse.
Plano de ação do diretor de segurança
-
Faça um inventário de cada agente de codificação de IA (CIEM). Codex, Código Claude, Copiloto, Cursor, Gemini Code Help, Windsurf. Liste as credenciais e os escopos OAuth recebidos na configuração. Se o seu CMDB não tiver categoria para identidades de agentes de IA, crie uma.
-
Audite escopos e níveis de patch do OAuth. Atualize o Código Claude para 2.1.90 ou posterior. Verifique o patch de agosto de 2025 do Copilot. Migre a Vertex AI para o modelo traga sua própria conta de serviço.
-
Trate nomes de filiais, descrições de pull request, problemas do GitHub e configuração de repositório como entradas não confiáveis. Monitore a ofuscação Unicode (U+3000), encadeamento de comandos em mais de 50 subcomandos e alterações em .vscode/settings.json ou .claude/settings.json que invertem os modos de permissão.
-
Governe as identidades dos agentes da mesma forma que governa as identidades humanas privilegiadas (PAM/IGA). Rotação de credenciais. Escopo de menor privilégio. Separação de funções entre o agente que escreve o código e o agente que o implementa. CyberArk, Delinea e qualquer plataforma PAM que aceite identidades não humanas podem integrar credenciais OAuth de agente hoje; Pesquisa Gravitee de 2026 descobriram que apenas 21,9% das equipes fizeram isso.
-
Valide antes de se comunicar. “Contanto que confiemos, verifiquemos e validemos, não há problema em deixar a IA mantê-lo”, disse Riemer. Antes de qualquer agente de codificação de IA se autenticar no GitHub, no Gmail ou em um repositório interno, verifique a identidade, o escopo e a sessão humana do agente à qual ele está vinculado.
-
Pergunte a cada fornecedor por escrito antes de sua próxima renovação. “Mostre-me os controles de gerenciamento do ciclo de vida de identidade para o agente de IA em execução no meu ambiente, incluindo escopo de credenciais, política de rotação e trilha de auditoria de permissão.” Se o fornecedor não puder responder, essa é a conclusão da auditoria.
A lacuna de governança em três frases
A maioria dos CISOs inventaria todas as identidades humanas e não possui inventário de agentes de IA em execução com credenciais equivalentes. Nenhuma estrutura IAM rege o escalonamento de privilégios humanos e o escalonamento de privilégios de agentes com o mesmo rigor. A maioria dos scanners rastreia cada CVE, mas não pode alertar quando o nome de uma filial exfiltra um token GitHub por meio de um contêiner no qual os desenvolvedores confiam por padrão.
O conselho de Zaitsev aos participantes do RSAC 2026 foi direto: vocês já sabem o que fazer. Os agentes simplesmente tornaram catastrófico o custo de não fazê-lo.
