Hack Alerta

ServiceNow: configuração padrão de agentes AI expõe risco de prompt injection

Por Redação Hack Alerta Publicado em 20/11/2025 05:03 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisa da Appomni mostra que configurações padrão do Now Assist (ServiceNow) podem permitir ataques de prompt injection de segunda ordem, levando a CRUD em registros sensíveis e envio de e‑mails externos; ServiceNow atualizou documentação e equipes devem revisar configurações e ativar supervisão.

Pesquisadores demonstraram que configurações padrão do Now Assist, da ServiceNow, podem permitir ataques de prompt injection de segunda ordem que resultam em exfiltração, escalada de privilégios e operações CRUD em registros sensíveis.

Resumo executivo

Appomni publicou análise mostrando que três configurações padrão do Now Assist — agentes atribuídos automaticamente ao mesmo time, agentes marcados como discoverable e o motor AiA ReAct/Orchestrator — permitem que um prompt malicioso inserido em dados seja lido por outros agentes com privilégios superiores, levando à execução de ações não autorizadas.

Vetor e dinâmica do ataque

O ataque demonstrado é de segunda ordem: um ator insere prompts maliciosos em campos de dados que serão lidos por outros agentes. Quando um agente “seguro” encontra esse dado, ele pode recrutar um agente mais poderoso para executar tarefas (CRUD, envio de e‑mail externo) com os privilégios do usuário que disparou a interação, não do autor do dado malicioso.

Em provas de conceito, os pesquisadores conseguiram realizar operações Create, Read, Update e Delete em registros sensíveis e enviar e‑mails externos contendo dados confidenciais, mesmo com proteções de prompt injection ativadas.

Mitigações recomendadas

Appomni sugere medidas práticas imediatas:

  • Habilitar Supervised Execution Mode para que agentes poderosos exijam aprovação humana antes de executar operações CRUD ou enviar e‑mails.
  • Desabilitar Autonomous Overrides — verificar que a propriedade sn_aia.The enable_usecase_tool_execution_mode_override esteja definida como false.
  • Segmentar agentes por times e funções para impedir que agentes de baixa confiança acessem agentes com privilégios elevados.
  • Monitorar comportamento de agentes em tempo real para detectar interações e desvios inesperados.

Resposta do fornecedor e implicações

A ServiceNow confirmou que os comportamentos descritos correspondem à funcionalidade intencional, mas atualizou a documentação para esclarecer os riscos de configuração. A recomendação central é que equipes façam auditoria imediata das implantações de AI agents e ajustem configurações padrão conforme as recomendações.

Limites das informações

A publicação não fornece exemplos de exploração em ambiente real nem números de incidentes. As demonstrações foram conduzidas em prova de conceito por pesquisadores (Appomni) e as instruções de mitigação derivam dessa análise e da documentação atualizada da ServiceNow.

Implicações práticas para equipes de segurança

Organizações que usam Now Assist devem tratar a revisão de configuração como tarefa de alto risco operacional: revisar privilégios de agentes, exigir aprovação humana para ações sensíveis, aplicar separação de funções entre agentes e integrar logs de atividade dos agentes ao SIEM para detecção de anomalias. Em ambientes regulados, documentar a auditoria e a remediação é recomendável.

Baseado em publicação original de Cyber Security News
Tags: #servicenow #prompt-injection #ai-agents #appomni #supervised-execution #seguranca #exfiltracao #privilegios #orquestracao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar