A corrida pela eficiência e pela democratização da Inteligência Artificial (IA) no ambiente corporativo, impulsionada por plataformas “sem código” (no-code) como o Microsoft Copilot Studio, está criando um risco de segurança negligenciado, mas potencialmente catastrófico.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link!
• Assine nossa newsletter neste link ou no LinkedIn!
• Siga o tecflow no tik tok!

A Tenable Research, braço de pesquisa da líder em Exposure Management, acaba de divulgar descobertas alarmantes: um jailbreak bem-sucedido em um agente de IA criado no Copilot Studio demonstrou a facilidade com que essas ferramentas podem ser manipuladas para cometer fraudes financeiras diretas, vazar dados sensíveis de clientes e sequestrar fluxos de trabalho operacionais.

Nesta entrevista, mergulharemos nas descobertas da Tenable Research e discutiremos com Keren Katz, Gerente Sênior do Grupo de Produtos e Pesquisa em Segurança de IA na Tenable, como as organizações podem e devem proteger seus dados e operações contra a ameaça crescente da IA Agêntica sem governança.

Descubra como uma simples “injeção de prompt” pode levar à perda de receita, violações de dados e qual é a mensagem crucial para os CISOs (Chief Information Security Officers) diante desta nova era de riscos cibernéticos.

1. Por favor, explique brevemente sua descoberta e o objetivo de sua pesquisa.

Keren Katz: Nossa pesquisa revelou vulnerabilidades inerentes no Microsoft Copilot Studio, uma das principais plataformas de criação de agentes de IA sem código, amplamente utilizada por empresas. Descobrimos uma vulnerabilidade inerente em uma das ações dos agentes da plataforma, que permite aos desenvolvedores de agentes configurar funcionalidades que, involuntariamente, possibilitam aos usuários obter mais informações do que o pretendido. Também demonstramos como uma simples injeção de prompt pode ser utilizada para causar prejuízo financeiro direto. 

Com esta pesquisa, pretendemos aumentar a conscientização do setor sobre a facilidade com que esses agentes poderosos podem se tornar o ponto mais fraco de uma organização. Esses agentes devem ser tratados com cautela, e sua segurança deve ser avaliada proativamente e gerenciada com rigor.

2. Você divulgou essas descobertas à Microsoft? 

Keren Katz: Não divulgamos isso porque os problemas que encontramos são comportamentos “intencionais” e não comprometeram dados de terceiros. Também utilizamos uma técnica conhecida de injeção de prompts, portanto não se tratava de uma vulnerabilidade nova. A questão central é um risco sistêmico inerente.

3. O blog afirma que você projetou o agente para usar a ação única “Obter Item” para evitar, especificamente, esse vazamento de dados. Por que o agente conseguiu simplesmente repetir essa ação para obter vários registros? Isso é uma característica intencional ou uma falha fundamental na forma como o Copilot Studio lida com as ações?

Keren Katz: É assim que a ferramenta funciona por design, o que representa uma falha de segurança crítica. 

4. O blog menciona integrações com o Outlook e o Teams. Quais são os outros “cenários preocupantes”? Um invasor poderia usar essas mesmas técnicas para ler as mensagens privadas do CEO no Teams? Enviar e-mails da conta de um diretor financeiro? Acessar arquivos confidenciais de RH no SharePoint? Exfiltrar propriedade intelectual ou outras informações confidenciais?

Keren Katz: O Microsoft Copilot oferece quase 1.500 conectores pré-configurados que se integram diretamente aos agentes do Copilot. Isso torna incrivelmente fácil para as empresas integrarem seus dados e ferramentas mais sensíveis, como Microsoft Dataverse, Salesforce, HubSpot, Confluence e muito mais, diretamente em fluxos de trabalho orientados por agentes de IA.

Mas eis o maior risco: esses agentes de IA frequentemente recebem privilégios excessivos, e as permissões são negligenciadas ou definidas de forma vaga. O resultado é que as empresas podem, sem saber, expor grandes quantidades de dados sensíveis e capacidades operacionais não apenas ao agente, mas geralmente a uma base de usuários excessivamente ampla, incluindo qualquer pessoa na internet.

5. Houve algum exemplo público decorrente de problemas semelhantes aos que você descobriu?

Keren Katz: A criação de agentes de IA ainda é relativamente nova, portanto ainda não vimos violações públicas de dados oriundas de injeções de prompt. No entanto, é perfeitamente possível que já tenha acontecido, mas simplesmente não foram descobertas ou divulgadas publicamente. É apenas uma questão de tempo. 

6. Suas recomendações envolvem a definição manual de escopo de permissões, a minimização das permissões de escrita e a “reestruturação ou divisão” dos armazenamentos de dados. Essas sugestões são realistas para os usuários não desenvolvedores para os quais o Copilot foi criada? O que as organizações podem fazer para garantir que o Copilot não seja usado indevidamente pelos funcionários?

Keren Katz: A primeira e mais importante recomendação é a visibilidade. A maioria das empresas com as quais conversei não fazia ideia de que dezenas, ou mesmo centenas, de agentes já estavam ativos em seus ambientes, profundamente integrados a dados sensíveis e a fluxos de trabalho operacionais.

Analisar manualmente essas plataformas para descobrir configurações incorretas não é algo realista; é uma tarefa interminável e propensa a erros. O que as organizações realmente precisam é de uma visão centralizada que destaque as configurações incorretas e as potenciais ameaças de IA representadas por todos os agentes de IA em sua organização, sejam eles construídos com código ou em plataformas sem código. Isso permite que você tome medidas antes que uma violação ocorra.

Soluções como o Tenable AI Exposure são projetadas exatamente para isso: mapear automaticamente a postura de segurança de cada agente, tanto interna quanto externamente exposta, e sinalizar problemas com recomendações práticas.

7. O que a Microsoft pode fazer, se é que pode fazer algo, para impedir o jailbreak ou a injeção de prompt? Os fornecedores não consideram a injeção de prompt uma vulnerabilidade, e a comunidade de segurança admite que ela não pode ser “corrigida”. Como podemos resolver esse problema de segurança que só está aumentando?

Keren Katz: Acredito que a questão central reside no fato de que o risco é inerente às arquiteturas de Modelo de Linguagem de Grande Escala (LLM, Large Language Models) e IA Agêntica. Essa não é uma vulnerabilidade tradicional que pode ser corrigida com uma atualização. 

Nunca devemos impedir a inovação, mas precisamos mudar fundamentalmente a abordagem. Como setor, devemos aprender a gerenciar de forma responsável a exposição de dados e ações, garantindo que a IA Agêntica tenha acesso apenas ao que é essencial para seu funcionamento.

Isso exige tanto o conhecimento de como esses sistemas são usados quanto o planejamento estratégico, incluindo processos claros de recuperação de desastres em caso de agravamento da situação. A adoção de IA Agêntica exige uma governança de segurança intencional.

8. Qual é a principal mensagem para os CISOs? 

Keren Katz: A IA Agêntica não é uma solução mágica. Embora impulsione o crescimento e a inovação dos negócios, exige atenção cuidadosa e um gerenciamento robusto da situação. Nossa pesquisa demonstra que, sem a devida supervisão, um ambiente de IA Agêntica não gerenciado pode levar rapidamente a vazamentos de dados significativos, interrupções operacionais, perdas financeiras e danos à reputação da empresa. Os CISOs devem tratar esses sistemas com o mesmo nível de rigor que qualquer outra tecnologia crítica da organização.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares naloja parceira do tecflow.