Resumo
Pesquisadores da Zenity Labs alertam que o recurso "Connected Agents" do Copilot Studio, anunciado no Build 2025 e ativado por padrão, expõe agentes a conexões de outros agentes sem gerar registros de atividade, permitindo a criação de backdoors que podem acionar ferramentas privilegiadas — por exemplo, envio de e-mails em nome da empresa.
O que é o recurso e por que importa
Connected Agents possibilita integração AI‑to‑AI dentro do Copilot Studio, permitindo que um agente reutilize capacidades, conhecimento e ferramentas de outro agente no mesmo ambiente. Segundo a análise divulgada pela fonte, o comportamento padrão (feature habilitada em novos agentes) amplia a superfície de ataque ao tornar publicamente acessíveis capacidades que normalmente deveriam ficar restritas.
Vetor e evidências de exploração
De acordo com o relatório citado, adversários criaram agentes maliciosos que se conectam a agentes legítimos e privilegiados — especialmente aqueles com ferramentas de envio de e‑mail ou acesso a dados sensíveis. Em demonstrações de prova de conceito, os pesquisadores comprovaram que um agente malicioso pode invocar a funcionalidade de envio de e‑mail de um agente legítimo sem que a ação gere mensagens no painel de atividade do agente alvo.
“A invocação de Connected Agents gera zero mensagens no activity tab do agente atingido, evadindo mecanismos típicos de auditoria,” relata o material técnico reproduzido pela fonte.
Impacto potencial
- Envio em massa de phishing a partir de domínios oficiais da empresa, aumentando a efetividade e a evasão de filtros.
- Impersonação institucional e risco reputacional significativo se agentes de suporte ou comunicação forem usados indevidamente.
- Blind spot para equipes de segurança: ações realizadas via invocação entre agentes podem não aparecer nos logs de atividade dos agentes legítimos.
Recomendações práticas divulgadas
Zenity Labs recomenda medidas imediatas de mitigação que constam explicitamente na matéria original:
- Auditar agentes em produção e identificar quais agentes têm Connected Agents habilitado.
- Desabilitar Connected Agents em agentes que contenham ferramentas não autenticadas ou fontes de conhecimento sensíveis.
- Implementar autenticação de ferramentas — exigir credenciais explícitas do usuário para ações sensíveis, evitando permissões implícitas do dono do agente.
- Para agentes business‑critical, considerar desabilitar o recurso por completo.
- Rever fontes de conhecimento e canais de publicação para garantir que apenas usuários e agentes legitimamente autorizados tenham acesso às capacidades expostas.
O que não está claro (limitações da cobertura)
A matéria não apresenta métricas de escala de exploração (número de incidentes confirmados em produção) nem declarações públicas de fabricantes ou clientes afetados. Também não há, no texto consultado, um posicionamento público formal da Microsoft sobre correções, cronograma de mitigação ou mudança de configuração padrão.
Observações finais
O caso ilustra como funcionalidades de conveniência em ambientes de desenvolvimento de agentes podem introduzir vetores de ataque novos e pouco visíveis para controles tradicionais. Até que mudanças de configuração ou correções sejam formalizadas, as medidas de mitigação sugeridas — auditoria e desativação do Connected Agents em agentes sensíveis, além de autenticação de ferramentas — são passos práticos e explícitos recomendados pela fonte.