Hack Alerta

ServiceNow Now Assist vulnerável a prompt injection de segunda ordem

Por Redação Hack Alerta Publicado em 19/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores da AppOmni demonstraram que configurações padrão do ServiceNow Now Assist permitem second‑order prompt injection via discovery agent‑to‑agent, potencialmente induzindo agentes a executar ações não autorizadas. Recomenda‑se revisão de permissões e restrição da descoberta agent‑to‑agent.

Pesquisadores da AppOmni demonstraram uma técnica de second‑order prompt injection que explora capacidades agent‑to‑agent do Now Assist, plataforma generativa de ServiceNow, permitindo que agentes induzam ações não autorizadas entre si quando a configuração padrão é permissiva.

O que mudou agora

O relatório descreve que configurações padrão do Now Assist podem ser aproveitadas por atores maliciosos para realizar prompt injection de segunda ordem. Em vez de um único agente ser alvo, a cadeia de descoberta agent‑to‑agent permite que um ator arme uma sequência de prompts que leva outro agente a executar instruções indevidas — por exemplo copiar ou exfiltrar dados sensíveis presentes no ambiente observável pela instância do agente.

Abordagem técnica

Segundo a investigação, a técnica funciona usando a descoberta e interação automática entre agentes: um agente malicioso apresenta prompts que parecem legítimos e que desencadeiam outro agente a executar tarefas automatizadas (copiar dados, acessar repositórios, emitir comandos). AppOmni documenta o fluxo e mostra como a lógica de orquestração entre agentes facilita a execução de ações não intencionadas.

Quem é afetado

Organizações que implantam Now Assist com configurações default e que permitem comunicações amplas entre agentes correm risco. As fontes não divulgam uma lista de vítimas públicas, nem indicam CVEs; o problema atinge mais o desenho de políticas e permissões do que uma falha de implementação específica.

Mitigações recomendadas

Com base nas observações, medidas concretas incluem:

  • revisar permissões e escopos de agentes—reduzir privilégios ao mínimo necessário;
  • desabilitar ou restringir a descoberta agent‑to‑agent onde não há necessidade operacional;
  • implementar controles de revisão de prompts e logs que permitam rastrear ações entre agentes;
  • auditoria contínua das integrações de Now Assist com sistemas sensíveis e políticas de prevenção de exfiltração.

Limitações e próximos passos

As matérias citadas descrevem o conceito e a prova de princípio, mas não indicam exploração em escala nem fornecem remediações automatizadas liberadas por ServiceNow no conteúdo das fontes. Times de segurança devem acompanhar alertas oficiais da ServiceNow e aplicar políticas de privilégio mínimo e logging detalhado enquanto avaliarem o impacto no seu ambiente.

Contexto para equipes de proteção

O caso evidencia um risco emergente das plataformas agentic e generativas: a delegação automática entre agentes pode ampliar superfícies de ataque se controles de confianças e escopos não forem estritos. Organizações que usam Now Assist ou soluções similares devem assumir que capacidades agent‑to‑agent aumentam a necessidade de governança sobre prompts, permissões e canais de saída de dados.

Baseado em publicação original de The Hacker News
Tags: #servicenow #ai-security #prompt-injection #appomni #agents #exfiltration #governança #permissoes #detecção
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar