Agentes de IA com acesso à web podem abrir brecha para execução remota de código, alerta Microsoft
19 de junho de 2026
Pesquisadores da Microsoft demonstraram que agentes de IA com capacidade de navegar na web podem ser explorados para executar código arbitrário no sistema host.
A Microsoft acaba de acender um alerta sobre uma nova classe de vulnerabilidade que envolve agentes de inteligência artificial com acesso à web. Em sua pesquisa AutoJack, a empresa demonstrou como um agente de navegação — ao renderizar uma página adulterada — pode comprometer serviços locais via Model Context Protocol (MCP) e, a partir daí, executar comandos arbitrários na máquina do usuário. O alvo da prova de conceito foi o AutoGen Studio, framework da própria Microsoft para orquestração de agentes, conforme reportagem da CSO Online.
Como o ataque AutoJack explora agentes de IA?
O ataque explora a confiança que agentes de IA depositam no conteúdo web que consomem. Quando um agente habilitado para navegação recebe a tarefa de visitar um site, ele baixa e interpreta páginas HTML. Se a página contiver scripts maliciosos ou referências enganosas, o agente pode ser induzido a tomar ações que afetam serviços MCP rodando localmente — por exemplo, executar comandos do sistema ou acessar arquivos sensíveis. A Microsoft demonstrou que, com a engenharia certa, o agente pode ser usado como ponte para um ataque de execução remota de código (RCE) no host.
Por que agentes de IA inseguros afetam desenvolvedores brasileiros?
Com a adoção crescente de agentes de IA em empresas brasileiras — especialmente em automação de processos e atendimento ao cliente — o alerta da Microsoft chega em um momento crítico. Muitos desenvolvedores estão integrando agentes a serviços MCP sem considerar que o navegador embutido no agente pode ser uma superfície de ataque. Conforme destacado recentemente, uma crise de governança com servidores MCP maliciosos já preocupa o setor. O AutoJack mostra que não basta proteger o servidor MCP se o agente que o consome puder ser enganado.
Como se proteger contra execução remota de código em agentes de IA?
A Microsoft recomenda que desenvolvedores limitem rigorosamente as permissões dos agentes de IA, especialmente aqueles com acesso à web. Isolar o ambiente de execução do agente (usando contêineres ou sandboxes) impede que um eventual comprometimento atinja o sistema operacional. Além disso, é essencial validar o conteúdo web renderizado e aplicar políticas de segurança que restrinjam chamadas a serviços MCP locais. A empresa também sugere que os agentes não executem ações automáticas com base exclusivamente em conteúdo externo sem supervisão humana.
Perguntas Frequentes sobre segurança em agentes de IA
O que é o Model Context Protocol (MCP)?
É um protocolo aberto que permite que agentes de IA se comuniquem com serviços locais ou remotos para acessar dados e executar ações, como ler arquivos ou enviar comandos.O AutoJack afeta todos os agentes de IA?
Não. O ataque foi demonstrado contra o AutoGen Studio, mas qualquer agente que navegue na web e tenha acesso a serviços MCP locais pode ser vulnerável se não houver isolamento adequado.Qual a principal recomendação da Microsoft?
Isolar os agentes em ambientes seguros (sandboxes ou contêineres) e limitar os privilégios de acesso a serviços MCP para evitar que uma página maliciosa consiga escalar o ataque até o sistema host.Fonte: www.csoonline.com
Escrito por
Manu RamalhoSou Manu Ramalho, publicitária com 15 anos de estrada conectando marcas e pessoas. Como fundadora da EME Marketing Digital, sempre busquei o marketing estratégico para gerar conexões autênticas. Aqui, mergulho na fronteira da inteligência artificial como analista de tendências. Meu foco é traduzir a complexidade de NLP, novos modelos de linguagem e papers acadêmicos para o mundo real, sempre com um olhar atento à regulamentação, ética e aos impactos sociais que essa tecnologia imprime na nossa sociedade.