Este artigo analisa a evolução das táticas adversárias utilizando IA generativa, passando de experimentos incipientes para operações em escala industrial. O GTIG identifica o uso de modelos para descoberta de vulnerabilidades, criação de malware polimórfico e orquestração autônoma de ataques. A conclusão é que a IA, além de alavanca de ataques, tornou-se um alvo em si, através de ataques à cadeia de suprimentos de software. A resiliência exige uma postura SecOps integrada, monitoramento proativo e a adoção do framework SAIF.
Sumário Executivo
Desde nosso relatório de fevereiro de 2026, o Google Threat Intelligence Group (GTIG) tem rastreado uma transição madura: o abandono de experimentos isolados para a aplicação industrial de modelos generativos em fluxos de trabalho adversários. Este conteúdo, derivado de investigações de incidentes, pesquisa de IA e telemetria, explora a natureza dual do ambiente atual: onde a IA atua como um motor sofisticado para operações ofensivas e, simultaneamente, como um ativo de alto valor que sofre ataques.
As principais tendências observadas incluem:
- Descoberta de Vulnerabilidades e Exploit Generation: Identificamos o uso de zero-days desenvolvidos com auxílio de IA. Atores estatais (PRC e DPRK) demonstram especial interesse em acelerar a descoberta de falhas.
- Evasão de Defesa: O uso de codificação orientada por IA acelerou o desenvolvimento de malware polimórfico, integrando lógica de "decoy" (código descartável) para confundir scanners baseados em assinaturas.
- Operações Autônomas: Malwares como o PROMPTSPY sinalizam uma mudança para ataques orquestrados por IA, onde o modelo interpreta o estado do sistema e executa comandos dinamicamente.
- Acesso Obfuscado: Adversários profissionalizaram o acesso a LLMs premium via middleware e pipelines de registro automatizado, contornando limites de uso e custos.
- Ataques à Cadeia de Suprimentos: Agentes de ameaças como o "TeamPCP" (UNC6780) comprometem dependências de software de IA (como bibliotecas open-source) para obter acesso inicial, pivotando de ferramentas de ML para níveis mais profundos da rede corporativa.
IA como Ferramenta: Além do Conteúdo
Adversários não estão apenas usando IA para escrever e-mails de phishing. Eles estão integrando modelos no ciclo de vida de ataque, da pesquisa de hardware alvo até o desenvolvimento de exploits complexos.
Descoberta de Vulnerabilidades e Engenharia de Prompt
O uso de "expert persona prompting" permite que atacantes forcem modelos a atuar como auditores de segurança seniores, identificando falhas que ferramentas tradicionais de fuzzing não detectam — especialmente falhas semânticas onde o desenvolvedor assumiu um nível de confiança inexistente.
- Weaponização de Zero-Days: Observamos agentes de crimes cibernéticos colaborando para weaponizar uma vulnerabilidade de bypass de 2FA. O script, além de funcional, apresentava características "textbook Pythonic" típicas de dados de treinamento de LLMs.
- Obfuscation e Polymorphism: O uso de IA para inserir grandes volumes de "junk code" (código inerte) camufla a finalidade real do malware. Famílias como CANFAIL e LONGSTREAM ilustram como a IA pode ser instada a gerar código que "parece ocupado", mas é inteiramente decorativo, drenando o tempo da resposta a incidentes.
PROMPTSPY: A Era dos Agentes Autônomos
O PROMPTSPY representa um salto qualitativo. Diferente de um backdoor comum, o malware utiliza o seu "GeminiAutomationAgent". Ele serializa a hierarquia da interface Android via Accessibility API, envia ao modelo e recebe, via JSON, coordenadas espaciais para toques e swipes. Isto permite que o malware tome decisões em tempo real, sem necessidade de intervenção humana (C2) constante.
IA como Alvo: Supply Chain Attacks
À medida que o ecossistema de ferramentas de IA cresce, o alvo dos atacantes se desloca. É muito mais eficiente comprometer uma biblioteca popular de integração LLM do que tentar quebrar a lógica de segurança do modelo base. Incidentes envolvendo LiteLLM e outras dependências reiteram que nossa superfície de ataque agora inclui os "conectores" que dão utilidade à IA.
Conclusão e Recomendação
A inovação técnica dos atacantes deve ser respondida com uma governança robusta. Para empresas brasileiras, a recomendação é clara: sua estratégia de SecOps deve incorporar o framework SAIF, tratando a segurança de IA não como uma funcionalidade, mas como parte integrante da sua arquitetura de infraestrutura.
Perguntas Frequentes
-
Como a IA é utilizada na descoberta de vulnerabilidades?
Adversários utilizam LLMs como multiplicadores de força para realizar engenharia reversa e identificar falhas lógicas complexas, como hardcoded trust assumptions, que ferramentas de análise estática tradicionais frequentemente ignoram. -
O que é o malware 'autônomo' citado no relatório?
Malwares como o PROMPTSPY integram LLMs para interpretar o estado do sistema em tempo real e decidir ações, como simular cliques, evitar desinstalações ou contornar autenticação, eliminando a dependência de comandos manuais humanos. -
Quais são os principais riscos de supply chain para o ecossistema de IA?
O risco central está nos ativos de integração, como bibliotecas de terceiros, conectores API e arquivos de configuração. Agressores injetam código malicioso nessas dependências para obter acesso inicial e persistência em ambientes de build e produção. -
Como as empresas podem se proteger desse cenário?
É essencial adotar o Secure AI Framework (SAIF), realizar red teaming em modelos e agentes, automatizar a análise de segurança na entrega de código e monitorar infraestruturas de proxy/API que tentam mascarar o consumo de LLMs.
Artigo originalmente publicado por Google Threat Intelligence Group em Cloud Blog
