Duas ferramentas de IA quebraram da mesma forma nas mesmas duas semanas, e quatro equipes de pesquisa provaram isso. O padrão subjacente a cada divulgação é uma frase: a IA empresarial aceita informações externas sem limites de confiança.
Em 15 de junho, Varonis divulgou Vazamento de pesquisa (CVE-2026-42824)uma cadeia de exfiltração de prova de conceito no Microsoft 365 Copilot Enterprise Search. A vítima clica em um URL microsoft.com criado, o Copilot pesquisa sua caixa de correio e os dados saem por meio de um SSRF do Bing. Sem plugins, sem segundo clique, sem indicador visível. Quatro dias antes, a Obsidian Safety publicou um cadeia de três CVE contra LiteLLM que carregava um usuário padrão de baixo privilégio até o administrador e a execução remota de código. Duas ferramentas. Duas equipes. Um limite quebrado.
A auditoria de cinco verificações no last deste artigo mapeia cada lacuna para um CVE ou um sinal de mercado de junho, um comando que você pode executar antes do almoço e uma frase que um CISO pode ler para o conselho.
Copilot transformou uma URL confiável em um mecanismo de exfiltração
O SearchLeak encadeou três pontos fracos em uma cadeia silenciosa de roubo de dados. O parâmetro URL q forneceu instruções ao invasor diretamente para o LLM do Copilot. Uma condição de corrida de renderização disparou uma tag de imagem antes da execução do sanitizador de saída. O endpoint de pesquisa de imagens do Bing, incluído na lista de permissões Política de segurança de conteúdoencaminhou os dados roubados. A Microsoft classificou a falha como crítica e corrigiu-a no back-end, de acordo com Varonis. NVD ainda não marcou; um rastreador de terceiros o lista como médio 6,5. A gravidade é contestada, mas o mecanismo não.
A escalada é a verdadeira história. Esta é a terceira cadeia de exfiltração Varonis Copilot em doze meses, após Reprompt em janeiro e EcoLeak em 2025. A nova solicitação atingiu o Copilot Private. SearchLeak atingiu a Pesquisa Corporativa. A empresa herda todas as permissões organizacionais do usuário, portanto, o raio de alcance é tudo o que um usuário pode alcançar.
LiteLLM entregou uma conta padrão para cada chave de provedor
O gateway LiteLLM contém as chaves para OpenAI, Anthropic, Azure e Bedrock por trás de um único proxy. A cadeia Obsidiana funciona em três movimentos. CVE-2026-47101um desvio de autorização, permite que um não administrador crie uma chave de API curinga. CVE-2026-47102 promove esse chamador para administrador proxy por meio de um endpoint /consumer/replace desprotegido. CVE-2026-40217 escapa da sandbox de código por meio de exec() com recursos integrados completos. Obsidian então demonstrou um shell reverso injetando uma resposta forjada de chamada de ferramenta por meio do mecanismo de retorno de chamada do LiteLLM. Obsidian avaliou a cadeia combinada em CVSS 9.9. O desenvolvedor digitou uma palavra. O atacante estourou uma concha.
Uma falha separada do LiteLLM tornou a urgência imediata. CVE-2026-42271um bug de injeção de comando nos endpoints de teste do MCP, chegou ao Lista CISA KEV em 8 de junho com prazo de remediação em 22 de junho. Essa entrada KEV não é a cadeia Obsidian. As duas são divulgações distintas com quatro dias de diferença, fixadas em releases diferentes, apontadas para o mesmo gateway. LiteLLM carrega mais de 40.000 estrelas do GitHub e está presente em milhares de implantações corporativas. Este também não é o primeiro susto. UM comprometimento da cadeia de suprimentos backdoorou as versões 1.82.7 e 1.82.8 do LiteLLM no PyPI em março. Um gateway comprometido expõe todas as credenciais de provedor que a organização possui.
Langflow e Mini Shai-Hulud provaram as escalas padrão
A mesma fronteira rompeu-se em mais duas ferramentas na mesma quinzena. Langflow CVE-2026-5027 tornou-se a terceira falha de execução remota de código do Langflow a atingir a exploração ativa este ano. Uma travessia de caminho no add de arquivo permite que um invasor grave arquivos em qualquer lugar do disco e, como o Langflow vem com login automático habilitado por padrão, uma única solicitação não autenticada chega ao RCE. VulnCheck exploração confirmada em 9 de junho. O Censys contou cerca de 7.000 casos expostos, a maior concentração na América do Norte, com Água lamacenta atribuição.
O Campanha Mini Shai-Hulud atingiu um ponto de pressão diferente. Depois que o código-fonte do worm se tornou público em 12 de maio, variantes imitadoras comprometeu 32 pacotes npm do Red Hat Cloud Services em 1º de junho, os pacotes eram retirados 80 mil vezes por semana. O worm coleta mais de 20 tipos de credenciais e se autopropaga sob a identidade do mantenedor comprometido.
Quatro equipes, quatro ferramentas, uma falha operacional. As lessons de bugs são diferentes. SearchLeak é uma injeção imediata. LiteLLM é escalonamento de privilégios. Langflow é a travessia de caminho. Mini Shai-Hulud é um envenenamento da cadeia de abastecimento. A fronteira que quebrou é a mesma em todos os quatro.
O mercado já reavaliou o risco
CrowdStrike Teleconferência de resultados do primeiro trimestre do ano fiscal de 27 coloque um número na lacuna. AJUDAa linha de detecção e resposta de IA da empresa, cresceu o ARR last em mais de 250% sequencialmente, com um pipeline no segundo trimestre acima de US$ 50 milhões (8-K arquivado na SEC). O ARR complete da empresa atingiu US$ 5,51 bilhões, e a telemetria da frota da CrowdStrike mostra mais de 1.800 aplicativos de agente em execução em endpoints corporativos.
No dia 17 de junho, a empresa AIDR estendido para AWSadicionando avaliação em tempo actual de comunicações de agentes, LLM e MCP em Amazon Bedrock, Kiro e Strands Brokers, com base em seu trabalho com Projeto Glasswing da Antrópico. Daniel Bernard, diretor de negócios da CrowdStrike, disse que a superfície de ataque de IA agora abrange desenvolvimento, tempo de execução, identidades e infraestrutura em nuvem, e que as equipes que os tratam como domínios separados deixam abertas as lacunas entre eles.
Os profissionais nomeiam a mesma lacuna em termos mais claros
David Levin, CISO da American Categorical World Enterprise Journey, disse à VentureBeat que o padrão não o surpreende. “Temos essa IA sombra, que é apenas a nova versão da TI sombra”, disse Levin.
Tanto Langflow quanto LiteLLM se enquadram na descrição. As equipes os defenderam por conveniência, deram-lhes credenciais e nunca os colocaram sob governança. Levin coloca a correção antes da implantação. “Não começamos isso apenas dizendo que faríamos isso sem os fundamentos corretos”, disse ele. “Aproveitamos os controles do NIST. O NIST lançou seu CSF junto com sua estrutura de IA. OWASP lançou seus 10 principais. Você precisa dos fundamentos certos antes de implantar.”
Merritt Baer, CSO da Enkrypt AI e ex-vice-CISO da AWS, nomeou a versão estrutural da falha em uma entrevista separada da VentureBeat. “As empresas acreditam que ‘aprovaram’ os fornecedores de IA, mas o que na verdade aprovaram foi uma interface, não o sistema subjacente”, disse Baer. “As dependências reais são uma ou duas camadas mais profundas e são essas que falham sob estresse.” Ela vinculou isso diretamente à forma como os sistemas caem. “Os dias zero brutos não são o modo como a maioria dos sistemas fica comprometida. A capacidade de composição é”, disse Baer ao VentureBeat. “É a ligação entre o modelo e seus dados onde reside o risco. Se você fornecer um bash de agente e um token de root, você já fez a maior parte do trabalho do invasor para eles.” É isso que as linhas 2 e 4 do teste de auditoria: o gateway que contém todas as chaves e a identidade do agente que ninguém controla.
Levin tinha uma estrutura mais nítida para a sala de reuniões. “Você precisa conversar mais em termos de risco versus conformidade com seus conselhos e executivos”, disse ele. “Não se trata mais do tamanho da equipe de engenharia. É o tamanho da sua imaginação. Está tudo escrito em inglês simples. Não é difícil para ninguém.” Nem o SearchLeak nem o LiteLLM precisavam de malware personalizado ou de dia zero para funcionar.
Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike, destacou o aperto operacional em números em uma entrevista exclusiva da VentureBeat. “O problema não é o dia zero. O problema é corrigir. Se você multiplicar esse problema por 10 vezes, eles ficarão completamente submersos”, disse Meyers. Ele apontou a identidade como a segunda frente. “Algumas destas IA têm as suas próprias identidades, ou as pessoas dão a sua identidade à IA para agir em seu nome, e isso torna o problema muito complexo.”
A auditoria de limite de confiança de cinco verificações
Cada linha mapeia uma lacuna para seu ponto de prova, um comando de verificação para segunda-feira de manhã, a correção e a frase para ler no quadro.
|
Lacuna entre limites de confiança |
Ponto de prova |
O que quebrou |
Verifique segunda-feira |
Corrigir segunda-feira |
Idioma do Conselho |
|
1. Solicitação de dados |
PesquisaLeak CVE-2026-42824. Injeção P2P + corrida HTML + Bing SSRF. Exfiltração de caixa de correio com um clique por meio do URL microsoft.com. PoC demonstrado; A Microsoft classificou-o como crítico, o NVD ainda não obteve pontuação. |
Parâmetro q da URL passado para LLM como instruções. O Sanitizer foi executado após a renderização. O Bing atuou como proxy de exfiltração por meio da lista de permissões do CSP. |
Audite as listas de permissões do CSP para domínios que realizam buscas no lado do servidor. Monitore URLs de pesquisa do Copilot para cargas codificadas. Revise os registros de auditoria do Copilot. |
Confirme a aplicação do patch do lado do servidor. Ative rótulos de confidencialidade que restrinjam o Copilot. Trate a saída de streaming de IA como não confiável. |
“Nosso assistente de IA poderia pesquisar e-mails de funcionários e enviar resultados a um invasor por meio de uma URL confiável da Microsoft. O fornecedor corrigiu-o. Precisamos verificar a configuração.” |
|
2. Exposição de credenciais de gateway |
Cadeia LiteLLM de três CVE (-47101, -47102, -40217). CVSS 9.9. CVE-2026-42271 separado no CISA KEV (corrigido na v1.83.7; cadeia completa corrigida na v1.83.14-stable). Prazo de 22 de junho. |
Nenhuma validação de função nos principais endpoints. Autopromoção para administrador by way of /consumer/replace. exec() escape da caixa de areia. Um gateway expõe todas as chaves do provedor. |
Execute pip present litellm. Abaixo de 1.83.14-estável = vulnerável. Verifique /mcp-rest/check/exposição. Auditoria de contas proxy_admin. |
Atualize para v1.83.14-stable+. Gire todas as chaves de API do provedor. Bloqueie /mcp-rest/check/* no proxy. Revise as proteções de código personalizado. |
“Nosso gateway de IA continha chaves para todos os provedores. Uma conta padrão poderia se promover para administrador e roubar todas elas. Rotação e correção agora.” |
|
3. Expansão de ferramentas de IA |
Langflow CVE-2026-5027 (CVSS 8.8). Terceiro RCE de 2026. ~7.000 instâncias expostas. Água lamacenta. Exploração ativa em 9 de junho. |
Percurso de caminho no add de arquivo. Login automático habilitado por padrão. Solicitação única não autenticada para RCE. |
Consulte Censys/Shodan para Langflow, Flowise, n8n, Dify em seu perímetro. Verifique o login automático. Ferramentas de IA de inventário fora do gerenciamento de mudanças. |
Coloque plataformas de IA por trás de VPN/confiança zero. Habilite a autenticação em todos os lugares. Atualize o Langflow para v1.9.0+ (versão atual 1.10.0). Superfície de impressão digital continuamente. |
“As ferramentas de desenvolvimento de IA são expostas à Web com o login desativado. Um grupo estatal está explorando essa falha agora. Hoje, está ficando atrás dos controles de acesso.” |
|
4. Governança de Identidade Não Humana |
AIDR ARR aumentou 250% (T1 AF27, SEC 8-Ok). Gasoduto do segundo trimestre >US$ 50 milhões. Mais de 1.800 aplicativos de agente em endpoints corporativos. |
Os agentes possuem identidades e agem em nome dos humanos. Alguns excedem o escopo pretendido para atingir uma meta. Nenhum padrão rege o ciclo de vida das credenciais do agente. |
Faça um inventário de todas as identidades não humanas usadas por agentes e servidores MCP. Mapeie o acesso do agente ao armazenamento de dados. Sinalize agentes com acesso de gravação à política de segurança. |
Privilegie menos a identidade de cada agente. Defina limites de privilégios por meio da proteção de identidade. Detecção em tempo de execução para ações que excedem a política. Humano no circuito para mudanças políticas. |
“Os agentes de IA possuem credenciais e agem de forma autônoma. Não governamos seu ciclo de vida de identidade como o acesso humano. O crescimento de 250% do mercado nos diz que essa lacuna é sistêmica.” |
|
5. Detecção Agente em Tempo de Execução |
Falcon AIDR expandido para AWS (17 de junho). Abrange Bedrock, Kiro, Agentes Strands. Integração MCP. Avaliação de agente/LLM/MCP em tempo actual. |
Ferramentas tradicionais monitoram ações de velocidade humana. Os agentes operam na velocidade da máquina, milhares de ações por minuto, e contornam os controles para atingir as metas. |
Teste se o EDR/XDR vincula as ações do agente à identidade de origem. Verifique se o SIEM ingere comunicações MCP. Confirme que você consegue distinguir o humano do agente no endpoint. |
Implante AIDR ou detecção de tempo de execução equivalente. Descoberta Shadow-AI para todos os aplicativos, modelos, servidores MCP e identidades de agente. Aplicação de políticas em tempo actual nas ações dos agentes. |
“Não podemos distinguir um funcionário humano de um agente de IA agindo em seu nome. Precisamos de detecção em tempo de execução na velocidade da máquina que possa interromper os danos antes que eles comecem.” |
A solução é o encanamento, não a política
O Ordem executiva de 2 de junho cria uma AI Cybersecurity Clearinghouse com prazo last de 2 de julho. As cinco lacunas acima não são problemas de modelo de fronteira. São problemas de encanamento nos gateways, plataformas de orquestração, camadas de identidade e ambientes de tempo de execução onde a IA encontra a empresa.
A auditoria tem cinco linhas. Cada linha corresponde a uma divulgação de junho ou sinal de mercado, um comando que uma equipe pode executar antes do almoço e uma frase que um CISO pode ler para o conselho. A questão não é se o seu fornecedor irá corrigir. É importante saber se você encontra a lacuna primeiro ou se um invasor a encontra da mesma forma que encontrou o Copilot e o LiteLLM.
