Documentado: primeiro ataque cibernético orquestrado por LLM exfiltra banco de dados em menos de uma hora
Em 10 de maio de 2026, um ataque cibernético se desenrolou que pesquisadores de segurança há muito temiam, mas nunca haviam confirmado na natureza: um agente de Large Language Model conduzindo uma cadeia completa de pós-exploração por conta própria, sem um operador humano guiando cada etapa. A Equipe de Pesquisa de Ameaças da Sysdig documentou o incidente e publicou suas descobertas esta semana.
O ataque começou com uma vulnerabilidade conhecida. A CVE-2026-39987 é uma falha de execução remota de código sem autenticação no Marimo, um ambiente de notebooks Python open source amplamente usado em ciência de dados e workflows de Machine Learning. Uma única requisição WebSocket foi suficiente para obter um shell em qualquer servidor não corrigido. A partir daí, o agente LLM assumiu o controle.
Quatro Pivots, Uma Hora
O que se seguiu não foi uma sequência programada. O agente improvisou a cada etapa, adaptando seus comandos ao que cada sistema comprometido revelava. Ele colheu credenciais de cloud de arquivos de ambiente, recuperou uma chave privada SSH do AWS Secrets Manager, abriu oito sessões SSH paralelas contra um servidor bastião downstream e exfiltrou completamente um banco de dados PostgreSQL interno. A fase de movimentação lateral levou menos de dois minutos. Toda a cadeia, do acesso inicial à exfiltração de dados, foi concluída em pouco mais de uma hora.
A análise forense da Sysdig identificou vários marcadores confirmando o comportamento autônomo de IA em vez de um ataque programado: improvisação em tempo real de esquemas de banco de dados, um comentário de planejamento vazado escrito em chinês embutido na saída do comando, formatação de saída otimizada por máquina e encadeamento de comandos com saída alimentada como entrada em múltiplos pivots. Nenhum humano tomou uma decisão entre as etapas.
Por Que Isso Muda o Modelo de Ameaça
Sistemas tradicionais de detecção de intrusão e playbooks de resposta a incidentes presumem ataques em ritmo humano. Movimentação lateral que leva dias ou horas dá tempo aos defensores para detectar, conter e responder. Um agente orientado por LLM que completa a mesma cadeia em menos de dois minutos não dá.
O ataque também demonstrou uma mudança qualitativa: o agente não estava executando um script fixo, mas tomando decisões contextuais. Quando encontrava um novo sistema, ele se adaptava. Esse tipo de exploração dinâmica e orientada por raciocínio não tem precedentes em padrões de ataque documentados.
A Vulnerabilidade e os Sistemas Afetados
A CVE-2026-39987 afeta servidores de notebooks Marimo expostos à internet — uma configuração comum em ambientes de desenvolvimento, pesquisa e ciência de dados onde notebooks são compartilhados entre equipes. Organizações que executam instâncias Marimo não corrigidas devem tratar isso como prioridade crítica. A Sysdig recomenda corrigir imediatamente, remover a exposição à internet dos servidores de notebooks, rotacionar quaisquer credenciais de cloud armazenadas em arquivos de ambiente e auditar logs de acesso do AWS Secrets Manager para recuperações não autorizadas de chaves.
Um Alerta para a Defesa na Era da IA
Este incidente não será o último. Agentes LLM já são capazes de conduzir intrusões no mundo real em velocidade de máquina, adaptando-se a ambientes novos e tomando decisões em múltiplas etapas sem orientação humana. Os Frameworks de resposta do setor de segurança, construídos em torno de cronogramas de atacantes humanos, não são mais suficientes por si só. Detecção automatizada, resposta em velocidade de máquina e isolamento de credenciais são agora requisitos básicos — não hardening opcional.
Originally reported by CyberSecurityNews / Sysdig. Read the original article for additional details.
View original source