Falha no MS-Agent permite execução remota e compromisso do sistema

Uma vulnerabilidade no framework open source ModelScope MS-Agent pode permitir a execução arbitrária de comandos no sistema operativo anfitrião, abrindo caminho a um compromisso total do sistema.

Identificada como CVE-2026-2256, a falha afeta a versão 1.5.2 do MS-Agent, um framework baseado no Model Calling Protocol (MCP) que permite criar agentes de inteligência artificial capazes de gerar código, analisar dados e interagir com ferramentas externas.

O problema reside na ferramenta Shell do MS-Agent, que possibilita aos agentes executar comandos no sistema operativo. Segundo o investigador de segurança Itamar Yochpaz, o mecanismo de validação de comandos utiliza uma blacklist baseada em expressões regulares para filtrar instruções perigosas, uma abordagem considerada insegura.

Sanitização insuficiente abre porta a execução arbitrária

De acordo com o investigador, as limitações do mecanismo de filtragem permitem que a ferramenta interprete a totalidade da string fornecida por um atacante como lógica executável, contornando as verificações de segurança implementadas.

Apesar da existência de múltiplas camadas de validação antes da execução dos comandos, o desenho da função permite que atacantes executem código arbitrário através de interpretadores confiáveis, exfiltrem dados usando utilitários de rede permitidos e contornem mecanismos de tokenização através da forma como o shell processa comandos.

A exploração não exige acesso direto à linha de comandos. Um atacante pode injetar conteúdo malicioso em fontes de dados consumidas pelo agente, como prompts, documentos, logs ou entradas de investigação, levando o sistema a selecionar automaticamente a ferramenta Shell e a construir uma string de comando influenciada pelo conteúdo malicioso.

Quando o comando é interpretado pelo shell, as verificações baseadas em blacklist podem ser ultrapassadas, resultando na execução de lógica controlada pelo atacante no contexto do processo do MS-Agent.

Risco de comprometimento total

A exploração bem-sucedida pode permitir a execução de comandos com os privilégios do processo MS-Agent no sistema anfitrião, abrindo caminho à leitura de segredos como chaves API, tokens e ficheiros de configuração, à instalação de payloads maliciosos, à alteração do estado do ambiente de trabalho e ao estabelecimento de mecanismos de persistência, bem como a movimento lateral para serviços internos e sistemas adjacentes e à manipulação de outputs de compilação, relatórios ou ficheiros utilizados por processos subsequentes.

Segundo um alerta do CERT/CC, o fornecedor não respondeu aos esforços de coordenação até ao momento da divulgação.

Recomendações de mitigação

Na ausência de correção oficial, é recomendado que o MS-Agent seja utilizado apenas em ambientes onde o conteúdo ingerido seja considerado confiável, validado ou devidamente sanitizado.

O CERT/CC aconselha ainda a execução de agentes com capacidades de shell em ambientes isolados (sandbox) e com o princípio de privilégios mínimos. Entre as medidas adicionais sugeridas estão a substituição de mecanismos de filtragem baseados em denylist por allowlists rigorosas e a implementação de fronteiras de isolamento mais robustas na execução de ferramentas.