Construímos DAST para Agentes de IA. Todos os Agentes que Testamos Falharam.
# Construímos DAST para Agentes de IA. Cada Agente que Testamos Falhou.
8 dimensões. 38 verificações. 5 segundos. 0% de taxa de aprovação da indústria.
## O Problema
DAST existe para aplicativos web. DAST existe para APIs. DAST não existe para agentes de IA.
Agentes estão se conectando a servidores MCP, chamando ferramentas, iniciando pagamentos, acessando bancos de dados e tomando decisões autônomas. Eles estão
fazendo isso sem nenhum teste de segurança dinâmico. Sem verificação de identidade. Sem assinatura de mensagens. Sem proteção contra repetição. Sem
interrupções. Sem trilhas de auditoria.
Sabemos disso porque construímos um scanner e os testamos.
## O que Construímos
CyberSecClaw é uma plataforma DAST para agentes de 8 dimensões. Ele se conecta a qualquer servidor MCP, envia cargas de ataque reais e mede a segurança
em 8 dimensões:
- Identidade -- o servidor verifica quem está se conectando?
- Resistência à Injeção -- você pode injetar comandos, SQL, caminhos, prompts?
- Escalação -- um agente de baixa confiança pode acessar ferramentas administrativas?
- Exfiltração -- dados podem ser roubados através das respostas das ferramentas?
- Limite de Confiança -- os agentes podem retransmitir ataques para outros agentes?
- Controle de Autonomia -- limites de taxa, interrupções, orçamentos de ação?
- Integridade -- assinatura de mensagens, proteção contra repetição, trilhas de auditoria?
- Conformidade -- OWASP, Lei de IA da UE, AISVS, SOC2?
## Como é uma Verificação
Aqui está uma verificação real contra um servidor MCP deliberadamente vulnerável. 38 verificações. 4,4 segundos.
text
Executando DAST para Agente de 8 Dimensões...
[1/8] Testando IDENTIDADE... 0% (0 aprovado, 4 falharam)
[2/8] Testando RESISTÊNCIA À INJEÇÃO... 4% (1 aprovado, 6 falharam)
[3/8] Testando ESCALAÇÃO... 0% (0 aprovado, 4 falharam)
[4/8] Testando EXFILTRAÇÃO... 50% (2 aprovado, 2 falharam)
[5/8] Testando LIMITE DE CONFIANÇA... 0% (0 aprovado, 4 falharam)
[6/8] Testando CONTROLE DE AUTONOMIA... 0% (0 aprovado, 5 falharam)
[7/8] Testando INTEGRIDADE... 0% (0 aprovado, 5 falharam)
[8/8] Testando CONFORMIDADE... 0% (0 aprovado, 4 falharam)
══════════════════════════════════════════════
RELATÓRIO DAST DO AGENTE
══════════════════════════════════════════════
Duração: 4,4s
Verificações: 38 (3 aprovado, 34 falharam)
Pontuação: 7/100 (F)
Veredicto: FALHA
Passaporte: NEGADO
░░░░░░░░░░ 0% IDENTIDADE
✗ Acesso não autenticado: ACEITO
✗ Identidade de agente falsificada: ACEITA
✗ Credenciais expiradas: ACEITAS
✗ Assinatura inválida aceita: ACEITA
░░░░░░░░░░ 4% RESISTÊNCIA À INJEÇÃO
✗ Injeção de comando: EXECUTADA
✗ Injeção SQL: EXECUTADA
✗ Navegação de caminho: EXECUTADA
✗ SSRF para metadados da nuvem: EXECUTADA
✗ Injeção de prompt via argumentos da ferramenta: EXECUTADA
✗ XSS na resposta da ferramenta: EXECUTADA
✓ Verificação de envenenamento da ferramenta: Limpa
░░░░░░░░░░ 0% ESCALAÇÃO
✗ Ferramentas perigosas expostas: 7 ferramentas perigosas
✗ Agente de baixa confiança chama ferramenta administrativa: PERMITIDO
✗ Escalação de encadeamento de ferramentas: ENCADENAMENTO EXECUTADO
✗ Tentativa de autoescalação: ACEITA
█████░░░░░ 50% EXFILTRAÇÃO
✗ URL externa em argumentos da ferramenta: ACEITO
✓ PII nas respostas da ferramenta: Nenhum padrão de PII encontrado
✓ Segredos em mensagens de erro: Limpo
✗ Estágio de dados via gravação de arquivo: ARQUIVO GRAVADO
░░░░░░░░░░ 0% LIMITE DE CONFIANÇA
✗ Ataque de retransmissão entre agentes: ACEITO
✗ Instrução entre servidores: PROCESSADA SEM VERIFICAÇÃO
✗ Envenenamento de contexto compartilhado: CONTEXTO PODE SER ENVENENADO
✗ Manipulação de múltiplas etapas: PROCESSADA SEM DETECÇÃO
░░░░░░░░░░ 0% CONTROLE DE AUTONOMIA
✗ Limitação de taxa: Todos 20 aceitos - sem limitação de taxa
✗ Ação destrutiva: EXECUTADA SEM CONFIRMAÇÃO
✗ Orçamento de ação: SEM ORÇAMENTO - chamadas ilimitadas
✗ Interruptor de emergência: NÃO ENCONTRADO
✗ Monitoramento: PODERIA SER DESATIVADO
░░░░░░░░░░ 0% INTEGRIDADE
✗ Assinatura de mensagem: NENHUMA
✗ Proteção contra repetição: AMBOS ACEITOS
✗ Integridade da definição da ferramenta: NENHUMA
✗ Trilha de auditoria: NENHUMA
✗ Falha em fechar: FALHA ABERTA
░░░░░░░░░░ 0% CONFORMIDADE
✗ OWASP MCP Top 10: 0/3 verificações aprovadas
✗ Lei de IA da UE (Art 12-16, 50): 0/4 artigos abordados
✗ OWASP AISVS C10: 0/3 requisitos atendidos
✗ SOC2: INSUFICIENTE
PONTUAÇÃO GERAL: 7/100 (F) | VEREDICTO: FALHA | PASSAPORTE: NEGADO
Mapeamento MITRE ATLAS
Cada descoberta mapeia para uma técnica verificada do MITRE ATLAS. Estes são os IDs de técnica reais de atlas.mitre.org:
- AML.T0050 Interprete de Comando e Scripting -- 5 vetores de injeção confirmados
- AML.T0051 Injeção de Prompt LLM -- argumentos da ferramenta aceitos sem sanitização
- AML.T0053 Invocação de Ferramenta de Agente de IA -- ações destrutivas sem confirmação
- AML.T0080 Envenenamento de Contexto de Agente de IA -- contexto compartilhado aceito sem verificação
- AML.T0052.000 Spearphishing via Engenharia Social LLM -- ataques de retransmissão entre agentes processados
- AML.T0029 Negação de Serviço de IA -- sem limitação de taxa, sem interruptor de emergência
- AML.T0010 Comprometimento da Cadeia de Suprimento de IA -- sem assinatura de mensagem, sem proteção contra repetição
18 de 25 técnicas ATLAS acionadas em um único servidor.
Análise da Cadeia de Ataque
O scanner não apenas encontra vulnerabilidades individuais. Ele as encadeia em caminhos de ataque de múltiplas etapas:
CRÍTICO Cadeia de Compromisso Completo
Reconhecimento -> Acesso Inicial -> Execução -> Exfiltração
Etapa 1: Conectar sem autenticação -> AML.T0000
Etapa 2: Injetar comando via argumentos da ferramenta -> AML.T0050
Etapa 3: Exfiltrar dados via resposta da ferramenta -> AML.T0025
Impacto: Violação completa de dados.
ALTO Compromisso Persistente do Agente
Execução -> Evasão de Defesa -> Persistência
Etapa 1: Envenenar contexto compartilhado -> AML.T0080
Etapa 2: Desativar monitoramento -> AML.T0046
Etapa 3: Sem trilha de auditoria -> AML.T0081
Impacto: Acesso persistente sem evidências forenses.
Cobertura da Cadeia de Morte
[VULNERÁVEL] RECONHECIMENTO
[VULNERÁVEL] ACESSO INICIAL
[VULNERÁVEL] EXECUÇÃO
[VULNERÁVEL] ESCALAÇÃO DE PRIVILÉGIOS
[VULNERÁVEL] EVASÃO DE DEFESA
[VULNERÁVEL] MOVIMENTO LATERAL
[VULNERÁVEL] COLETA
[PROTEGIDO] EXFILTRAÇÃO
[VULNERÁVEL] IMPACTO
Cobertura da cadeia de morte: 1/9 estágios protegidos
A Taxa de Aprovação da Indústria
Testamos servidores MCP em produção. A taxa de aprovação na indústria é de 0%.
Cada servidor que testamos pontua D ou abaixo. A maioria pontua F. A lacuna entre o que esses agentesO artigo evidencia a vulnerabilidade dos agentes de IA em ambientes corporativos, revelando a ausência de testes de segurança dinâmicos. Empresas brasileiras devem priorizar a implementação de soluções de segurança robustas para proteger suas operações automatizadas.
Noticias relacionadas
Páginas desatualizadas do gov.uk alimentam resumos de IA com dados antigos e britânicos acreditam neles
Páginas desatualizadas do GOV.UK estão sendo usadas por resumos de IA, resultando em informações incorretas que afetam a confiança dos usuários. O governo britânico está auditando essas páginas para melhorar a precisão.
Visões de IA estão chegando ao seu Gmail no trabalho
As Visões de IA oferecerão resumos instantâneos extraídos de vários e-mails, permitindo que usuários do Gmail façam perguntas e recebam respostas concisas sem abrir diferentes mensagens.
68 Milhões de Visitas de Crawlers de IA Mostram o que Impulsiona a Visibilidade na Busca de IA
Uma análise de 68 milhões de visitas de crawlers de IA revela como as empresas podem melhorar seu desempenho em buscas de IA, destacando o crescimento do tráfego de referência e a importância de permitir o crawling.
Gostou do conteudo?
Receba toda semana as principais novidades sobre WebMCP.