Permissões excessivas a agentes de IA criam novas vulnerabilidades na cadeia de software

A utilização de ferramentas de vibe coding baseadas em Inteligência Artificial (IA) está a ganhar tração entre equipas de desenvolvimento, mas nem sempre com as salvaguardas necessárias. Uma análise da UpGuard a mais de 18 mil ficheiros públicos de configuração de agentes de IA no GitHub conclui que cerca de 20% dos programadores concedem a estes agentes acesso irrestrito às suas estações de trabalho, permitindo ações de elevado risco sem qualquer validação humana.

Segundo o estudo, na tentativa de ganhar eficiência, muitos developers autorizam os agentes de IA a descarregar conteúdos da internet e a ler, escrever ou apagar ficheiros localmente de forma autónoma. Esta prática elimina controlos básicos de segurança e abre caminho a incidentes graves, desde falhas na cadeia de fornecimento de software até à exposição de credenciais e dados sensíveis.

“As equipas de segurança não têm visibilidade sobre o que os agentes de IA estão a aceder, a expor ou a exfiltrar quando os programadores concedem permissões alargadas sem supervisão”, alerta Greg Pollock, diretor de Research and Insights da UpGuard. “Mesmo com as melhores intenções, estas decisões aumentam o potencial de vulnerabilidades e exploração. É assim que pequenos atalhos nos fluxos de trabalho se transformam em grandes problemas de exposição de código e credenciais.”

Entre as conclusões mais preocupantes está o facto de um em cada cinco programadores permitir que agentes de IA apaguem ficheiros sem restrições, criando o risco de que um erro simples — ou um ataque de prompt injection — possa eliminar recursivamente projetos inteiros ou mesmo sistemas completos. Quase 20% dos ficheiros analisados permitem ainda que a IA grave alterações diretamente no repositório principal de código, contornando revisões humanas essenciais e facilitando a introdução de código malicioso em ambientes de produção ou projetos open source.

O estudo identifica também permissões de execução de código particularmente sensíveis: 14,5% dos agentes podem executar código arbitrário em Python e 14,4% em Node.js, o que, na prática, concede controlo total do ambiente de desenvolvimento a um atacante que explore com sucesso o agente de IA.

Outro vetor de risco destacado é o ecossistema do Model Context Protocol (MCP). A UpGuard encontrou um elevado número de servidores “lookalike” – imitações de ferramentas legítimas – criando condições ideais para ataques de typosquatting. Em alguns registos, por cada servidor associado a um fornecedor tecnológico verificado, existem até 15 alternativas provenientes de fontes não confiáveis, aumentando a probabilidade de compromisso por erro humano.