Uma nova classe de vulnerabilidade, denominada 'agentjacking', expõe a fragilidade da integração entre agentes de IA e ferramentas de observabilidade corporativas. A falha, detalhada pela Tenet Security em junho de 2026, permite que agentes de codificação — incluindo Claude Code, Cursor e Codex — executem instruções maliciosas injetadas em relatórios de erro falsos. O ataque utiliza credenciais públicas, como DSNs do Sentry, para manipular o fluxo de dados que os agentes interpretam como diagnóstico legítimo, transformando a saída de ferramentas de monitoramento em um vetor de execução de código com os privilégios do desenvolvedor.
Segundo reportagem do VentureBeat, o problema reside na arquitetura de confiança dos sistemas atuais. Como cada etapa do processo é autorizada — o envio do evento, o processamento pelo servidor MCP e a execução pelo agente —, nenhum alerta de segurança é disparado. Ferramentas tradicionais como EDR, WAF e firewalls falham em detectar a intrusão porque o agente atua dentro de sua funcionalidade normal, apenas respondendo a dados de entrada corrompidos que parecem benignos.
A falha sistêmica no ecossistema de agentes
O 'agentjacking' aproveita a confiança cega dos agentes de IA em fontes de dados externas. Ao contrário de um ataque de injeção de prompt comum, esta vulnerabilidade explora a integração via protocolos como o Model Context Protocol (MCP). O Sentry, por exemplo, expõe intencionalmente DSNs para relatórios de frontend, o que se torna um ponto de entrada para atacantes injetarem instruções maliciosas. Com o uso de credenciais expostas publicamente, um atacante pode injetar eventos em larga escala, visando o ambiente de desenvolvimento de organizações que utilizam ferramentas conectadas.
A Tenet Security identificou mais de 2.300 organizações com credenciais de Sentry expostas, evidenciando que o risco não é apenas teórico. Em testes controlados, a técnica obteve uma taxa de sucesso de 85%, permitindo que o agente silenciosamente exfiltrasse chaves de acesso AWS e URLs de repositórios privados. A Cloud Security Alliance já classificou o 'agentjacking' como uma vulnerabilidade sistêmica, destacando que a mitigação não passa pela revogação de credenciais, mas pela restrição do que os agentes podem fazer com os dados recebidos.
O abismo de segurança em tempo de execução
O principal desafio para as equipes de segurança é a distinção entre a atividade legítima de um desenvolvedor e a ação de um agente de IA. Como os agentes operam com privilégios de usuário, a falta de visibilidade em tempo de execução cria um ponto cego crítico. Pesquisas de mercado indicam que a adoção de ferramentas de IA superou amplamente a implementação de controles de segurança. Relatórios da HiddenLayer e Gravitee apontam que a maioria das empresas não consegue confirmar se sofreu incidentes relacionados a agentes, e muitos sistemas foram implantados sem aprovação formal de segurança.
Para especialistas como Elia Zaitsev, CTO da CrowdStrike, a segurança de agentes deve ser tratada como a proteção de usuários altamente privilegiados. A indústria focou excessivamente na correção de vulnerabilidades e no controle de permissões, negligenciando a proteção em tempo de execução. A introdução de políticas estáticas é insuficiente em um cenário onde o agente raciocina e toma decisões autônomas. A resposta do setor tem sido a busca por autorização contínua, onde cada ação do agente é verificada em tempo real, independentemente da ferramenta de origem.
Implicações para a infraestrutura corporativa
A exposição não se limita ao Sentry; ferramentas como Datadog, PagerDuty e Jira possuem a mesma arquitetura de integração que pode ser explorada. Para as empresas, o risco é a exfiltração de segredos de nuvem e tokens de controle de versão sem que nenhum perímetro seja tecnicamente rompido. A mudança de paradigma exige que as organizações adotem uma postura de 'zero trust' para agentes de IA, tratando suas saídas como dados não confiáveis até que sejam validadas por mecanismos de segurança externos.
No mercado brasileiro, onde a adoção de LLMs e agentes para automação de desenvolvimento cresce rapidamente, a lição é clara: a visibilidade sobre as ferramentas de observabilidade deve ser auditada. Empresas que não aplicam os mesmos controles de segurança aos agentes que aplicam aos humanos estão operando com um risco residual elevado. A segurança deve ser integrada ao ciclo de vida do agente, e não aplicada apenas na camada de infraestrutura.
O futuro da monitoração de agentes
O que permanece incerto é a rapidez com que os fornecedores de ferramentas de desenvolvimento conseguirão implementar controles de segurança nativos para mitigar essas injeções. A mudança de políticas estáticas para enforcement contínuo representa um desafio técnico e operacional significativo para as equipes de TI.
O setor deve observar como as novas camadas de monitoramento, como a introduzida pela CrowdStrike, serão adotadas em larga escala. A questão central não é mais apenas o que o agente pode acessar, mas como ele interpreta o contexto de diagnóstico que recebe de fontes externas. Com reportagem do VentureBeat
Source · VentureBeat
