Uma vulnerabilidade crítica no framework MS-Agent, da ModelScope, permite que atacantes sequestrem agentes de IA para executar comandos maliciosos e obter controle total sobre o sistema hospedeiro. A falha, rastreada como CVE-2026-2256, recebeu a pontuação máxima de 9.8 no CVSS v3.1 e foi divulgada pelo CERT/CC (Computer Emergency Response Team Coordination Center).
O que mudou agora
A descoberta formaliza um risco teórico há muito discutido na segurança de IA: a injeção de comandos via "prompt injection" em agentes com acesso ao sistema operacional. Diferente de vulnerabilidades em estágio de pesquisa, esta foi catalogada por uma autoridade central de coordenação de vulnerabilidades, indicando maturidade na exploração da técnica. O fabricante, a ModelScope, ainda não divulgou um patch oficial ou um posicionamento público sobre a falha no momento da divulgação do CERT/CC.
Vetor e exploração
O MS-Agent inclui uma ferramenta "Shell" que permite ao agente de IA executar comandos do sistema operacional para realizar tarefas autônomas. O problema reside na validação inadequada de entradas. Um atacante pode usar técnicas de injeção de prompt para inserir instruções maliciosas disfarçadas em texto comum, como o conteúdo de um documento a ser resumido ou um trecho de código a ser analisado.
O framework tenta se defender com uma função check_safe() que usa uma lista de negação (denylist) de termos perigosos. No entanto, o relatório do CERT/CC é claro: "esta defesa é facilmente contornada". Atacantes podem usar ofuscação de comandos ou sintaxes alternativas para burlar o filtro rudimentar, fazendo com que código malicioso alcance a camada de execução sem detecção.
Impacto e alcance
A exploração bem-sucedida concede ao atacante a execução de comandos arbitrários no sistema da vítima, com os mesmos privilégios do processo do MS-Agent. Isso pode levar a:
- Exfiltração de dados: Roubo de qualquer informação sensível acessível pelo agente de IA.
- Comprometimento do sistema: Modificação ou exclusão de arquivos críticos, instalação de backdoors e mecanismos de persistência.
- Movimentação lateral: Uso do sistema comprometido como ponte para atacar outros ativos na rede corporativa.
O risco é particularmente alto em implementações onde o agente tem acesso privilegiado ou processa dados confidenciais de fontes externas não validadas.
Recomendações de mitigação imediata
Na ausência de um patch oficial, o CERT/CC e especialistas recomendam ações defensivas urgentes para organizações que utilizam o MS-Agent:
- Sandboxing rigoroso: Executar o framework em ambientes altamente isolados (ex.: containers com capacidades mínimas, máquinas virtuais dedicadas) para conter um eventual vazamento.
- Privilégio mínimo: Garantir que o processo do agente execute apenas com as permissões de sistema estritamente necessárias para sua função.
- Validação de entrada: Restringir o uso do MS-Agent a contextos onde todo o conteúdo externo ingerido é proveniente de fontes verificadas e de alta confiança.
- Substituir a lista de negação: Trocar o frágil filtro baseado em denylist por uma lista de permissão (allowlist) estrita, que autorize apenas comandos específicos e previamente aprovados para a tarefa do agente.
Esta vulnerabilidade serve como um alerta contundente para a indústria: conceder autonomia de execução a agentes de IA sem mecanismos de segurança robustos e inspeção profunda de entradas cria uma superfície de ataque crítica e nova.