Vulnerabilidade
TL;DR
ServiceNow: AppOmni Labs descobriu a falha “BodySnatcher” que permite que invasores com apenas um endereço de e-mail se façam passar por administradores e criem contas backdoor privilegiadas. Problema da Microsoft: Zenity Labs descobriu que o recurso “Agentes Conectados” do Microsoft Copilot Studio permite o movimento lateral entre agentes e é habilitado por padrão. Respostas do fornecedor: ServiceNow corrigiu a vulnerabilidade em outubro de 2025, enquanto a Microsoft mantém a configuração padrão necessária para a colaboração do agente. Implicações de segurança: Essas descobertas revelam vulnerabilidades sistêmicas nas arquiteturas de agentes de IA empresarial, à medida que as organizações se preparam para implantar mais agentes do que funcionários humanos.
Pesquisadores do AppOmni Labs descobriram vulnerabilidades exploráveis no ServiceNow e no Microsoft Copilot Studio. As falhas permitem que os invasores executem movimentos laterais entre agentes de IA corporativos usando credenciais mínimas.
“Imagine um invasor não autenticado que nunca fez login em sua instância do ServiceNow e não tem credenciais, e está sentado no outro lado do mundo. Com apenas o endereço de e-mail de um alvo, o invasor pode se passar por um administrador e executar um agente de IA para ignorar os controles de segurança e criar contas de backdoor com privilégios totais. Isso pode conceder acesso quase ilimitado a tudo o que uma organização abriga, como como números de seguro social de clientes, informações de saúde, registros financeiros ou propriedade intelectual confidencial.”
Aaron Costello, chefe de pesquisa do AppOmni Labs (via AppOmni)
ServiceNow BodySnatcher Discovery
AppOmni Labs, o braço de pesquisa de inteligência de ameaças do provedor de segurança cibernética empresarial AppOmni, descobriu a vulnerabilidade na plataforma da ServiceNow. Chamada de “BodySnatcher”, a falha representa um aumento significativo nas ameaças à segurança baseadas em IA.
Aaron Costello, chefe de pesquisa do AppOmni Labs, descreveu o BodySnatcher como a vulnerabilidade mais grave causada por IA encontrada até agora. Ele observou que os invasores poderiam ter controlado remotamente a IA de uma organização.
“Imagine um invasor não autenticado que nunca fez login em sua instância do ServiceNow e não tem credenciais, e está do outro lado do mundo. Com apenas o endereço de e-mail de um alvo, o invasor pode se passar por um administrador e executar um agente de IA para ignorar os controles de segurança e criar contas de backdoor com privilégios totais. Isso poderia conceder acesso quase ilimitado a tudo o que uma organização hospeda, como números de segurança social do cliente, informações de saúde, registros financeiros ou propriedade intelectual confidencial.”
Aaron Costello, chefe de pesquisa do AppOmni Labs (via AppOmni)
A vulnerabilidade se baseia em pesquisas anteriores de injeção imediata de agente para agente. Este trabalho anterior detalhou como os invasores podem enganar os agentes de IA para que recrutem agentes de IA mais poderosos para realizar tarefas maliciosas. Este mecanismo permite uma cadeia de exploração onde agentes mais fracos se tornam pontos de entrada para acessar sistemas mais privilegiados.
A descoberta do BodySnatcher expõe uma fraqueza arquitetônica fundamental na forma como os agentes de IA corporativos interagem. Ao contrário das vulnerabilidades de software tradicionais que comprometem sistemas individuais, a exploração entre agentes cria riscos crescentes.
Cada agente comprometido pode recrutar outros, transformando efetivamente lacunas de segurança isoladas em violações em toda a empresa. Isso posiciona a IA agente como um vetor de ameaça único, onde a soma de vulnerabilidades interconectadas excede em muito suas partes individuais.
ServiceNow Response
Embora a vulnerabilidade do BodySnatcher tenha revelado falhas críticas de segurança, a ServiceNow agiu proativamente para enfrentar a ameaça. Em outubro de 2025, a empresa emitiu uma atualização de segurança para instâncias de clientes que abordavam a vulnerabilidade. A empresa afirmou que não tem conhecimento da exploração desse problema contra instâncias de clientes.
Para clientes que usam a versão em nuvem (SaaS) operada pela ServiceNow, a atualização de segurança foi aplicada automaticamente. Os clientes auto-hospedados devem aplicar a atualização por conta própria. Essa abordagem em níveis garante proteção imediata para a maioria dos usuários, ao mesmo tempo que dá às implantações locais controle sobre seus cronogramas de atualização.
A resposta diferenciada do ServiceNow cria um cenário de segurança em dois níveis. Os clientes da nuvem recebem proteção imediata, enquanto as implantações auto-hospedadas permanecem expostas até que os administradores atuem. Essa abordagem dividida destaca uma tensão crescente na implantação de IA empresarial.
A conveniência das soluções SaaS vem com cronogramas de atualização obrigatórios que as organizações não podem adiar. Enquanto isso, os ambientes auto-hospedados mantêm o controle ao custo do atraso na aplicação de patches. Para as equipes de segurança, isso significa que as decisões de migração para a nuvem agora trazem implicações diretas de vulnerabilidade que desafiam as estruturas tradicionais de avaliação de risco.
Problema de agentes conectados da Microsoft
O ServiceNow não é a única plataforma que enfrenta desafios de segurança de IA de agentes. Zenity Labs, uma empresa de pesquisa de segurança liderada pelo cofundador e pesquisador CTO Michael Bargury, descobriu uma vulnerabilidade paralela no ecossistema da Microsoft.
O recurso “Agentes Conectados” no Microsoft Copilot Studio permite que outros agentes, registrados no Entra Agent Registry ou não, para conectar-se lateralmente a um agente e aproveitar seu conhecimento e capacidades.
Descoberta por pesquisadores white-hat, a falha destaca como a comunicação entre agentes destinada à produtividade pode se tornar um vetor de ataque. A vulnerabilidade cria caminhos para escalonamento de privilégios que as equipes de segurança podem não ter visibilidade.
Criticamente, o recurso Agentes Conectados é habilitado por padrão em todos os novos agentes no Copilot Studio. Esta configuração permite automaticamente que novos agentes recebam conexões de outros agentes sem aprovação explícita do administrador. Consequentemente, essa configuração padrão maximiza a conectividade e, ao mesmo tempo, minimiza potencialmente os controles de segurança.
A configuração padrão da Microsoft para Agentes Conectados reflete uma filosofia de produto que prioriza a interoperabilidade acima dos limites de segurança.
Ao permitir a comunicação entre agentes sem aceitação explícita, o Copilot Studio cria um modelo de confiança implícita onde qualquer agente pode potencialmente aproveitar os recursos e o acesso de qualquer outro. Essa escolha de design impõe aos clientes o fardo da configuração de segurança após a implantação. Muitas organizações não têm visibilidade para avaliar sua exposição neste estágio.
O Paradoxo de Segurança da Microsoft
Apesar dos benefícios de conectividade, a posição da Microsoft em relação aos Agentes Conectados revela uma tensão entre seus compromissos de segurança e o design do produto.
Um porta-voz da empresa defendeu a configuração padrão, explicando ao ZDNET que os Agentes Conectados permitem interoperabilidade crítica e que a desativação universal interromperia fluxos de trabalho essenciais de produtividade e segurança.
A Microsoft não vê o recurso Agentes Conectados como uma vulnerabilidade, argumentando que desligá-lo universalmente quebraria os principais cenários para clientes que dependem da colaboração de agentes.
No entanto, esta posição contrasta fortemente com os próprios princípios de segurança da Microsoft. Dois dos três pilares da Iniciativa Futuro Seguro da Microsoft são “Seguro por Padrão” e “Seguro por Design”. A configuração padrão dos Agentes Conectados parece priorizar a funcionalidade em detrimento da segurança, criando um paradoxo entre os princípios declarados e a implementação real.
Esse padrão de disposição da Microsoft em minimizar as preocupações de segurança atraiu críticas da comunidade de segurança.
Os agentes criados com ferramentas de desenvolvimento da Microsoft, como Copilot Studio ou Azure AI Foundry, são automaticamente registrados no Registro de Agente do Entra.
No entanto, o Entra Agent ID fornece identidade e governança, mas por si só não produz alertas para cada exploração entre agentes sem monitoramento externo configurado. Isso cria uma lacuna de governança em que os agentes têm identidades, mas não possuem supervisão de segurança abrangente.
Bargury caracterizou o problema de forma diplomática, chamando-o de “não uma vulnerabilidade”, mas um “acidente infeliz que cria risco”. Ele observou que o Zenity Labs tem trabalhado com a equipe da Microsoft para ajudar a impulsionar um design melhor.
A Microsoft recomenda desativar o recurso Agentes Conectados antes de publicar qualquer agente que use ferramentas não autenticadas ou acesse fontes de conhecimento confidenciais.
Movimento lateral explicado
Entender como os invasores exploram essas vulnerabilidades requer examinar a mecânica do movimento lateral.
A explicação técnica de Bargury destaca o desafio principal: o uso seguro de agentes requer recursos de monitoramento abrangentes, começando com rastreamento detalhado. Ele identificou isso como um grande ponto cego no recurso de agentes conectados da Microsoft.
Sem visibilidade de como os agentes se comunicam e delegam tarefas, as organizações não conseguem detectar quando um agente foi comprometido e está sendo usado para acessar recursos além do escopo pretendido.
Jonathan Wall, fundador e CEO da Runloop, enfatizou a aplicação do princípio do menor privilégio aos agentes de IA. Isso significa começar com acesso mínimo e conceder apenas as permissões estritamente necessárias. Essa abordagem entra em conflito direto com a configuração padrão de conectividade máxima dos Agentes Conectados.
A governança do Entra Agent Registry comoos alertas automáticos de exploração criam um ponto cego perigoso. Embora os agentes sejam registrados e teoricamente controlados, a falta de monitoramento em tempo real significa que as explorações podem passar despercebidas até que ocorram danos significativos.
Perspectivas de especialistas sobre soluções
Abordar essas vulnerabilidades exige mais do que correções técnicas. Isso exige mudanças fundamentais na forma como as organizações abordam a segurança de IA.
Alex Simons, vice-presidente corporativo de inovações em IA da Microsoft, defendeu o gerenciamento de permissões de agentes e a garantia de que eles sigam um modelo de privilégio mínimo. No entanto, a implementação deste princípio requer repensar a forma como os agentes são implantados e interconectados.
Especialistas do setor argumentam que a segurança da IA corporativa precisa de uma reestruturação fundamental.
Geoffrey Mattson, CEO da SecureAuth, capturou o desafio de forma sucinta, afirmando que as empresas não podem simplesmente “fazer LLM para sair de um problema de LLM”.
Isso significa que elas não podem confiar na própria IA para resolver vulnerabilidades de segurança geradas por IA. O plano de controle de IA empresarial precisa deixar de tentar proteger os próprios modelos e passar a impor autorização contínua em todos os recursos que esses agentes tocam.
Para as organizações que atualmente implantam agentes de IA, as equipes de segurança devem auditar as permissões dos agentes, desativar os Agentes Conectados para aplicativos confidenciais e implementar soluções de monitoramento que possam detectar comunicações anômalas entre agentes.
As vulnerabilidades no ServiceNow e no Microsoft Copilot Studio servem como avisos antecipados dos desafios de segurança que proliferarão à medida que a adoção da IA pelas empresas acelera.
Tanto a aplicação proativa de patches da ServiceNow quanto a colaboração contínua da Microsoft com pesquisadores demonstram que os fornecedores respondem a essas ameaças.
No entanto, as configurações padrão e as opções de arquitetura que permitem o movimento lateral sugerem que a segurança permanece secundária em relação à funcionalidade em muitas implantações de agentes de IA. À medida que as organizações implantam um número crescente de agentes autônomos, fechar essas lacunas de segurança torna-se não apenas uma necessidade técnica, mas um imperativo comercial.
