Identificado ataque que explora agentes de IA autónomos

Investigadores da Straiker identificaram uma nova classe de ataque à cadeia de fornecimento que explora agentes autónomos de Inteligência Artificial (IA) e as relações de confiança entre eles. A campanha, ainda ativa, utiliza um plugin malicioso publicado na plataforma Clawhub para comprometer carteiras de criptomoedas.

O ataque foi detetado na marketplace de “skills” do Claude, módulos que expandem automaticamente as capacidades do modelo quando considerados relevantes. Após analisar 3.505 skills disponíveis na Clawhub, a Straiker identificou 71 claramente maliciosas e outras 73 com comportamentos de alto risco.

No caso em análise, um ator identificado como “26medias” na Clawhub e “BobVonNeumann” na plataforma Moltbook terá publicado a skill “bob-p2p”, apresentada como uma API descentralizada. Na prática, o módulo instruía agentes a armazenar chaves privadas de carteiras Solana em texto simples, adquirir tokens $BOB sem valor e redirecionar pagamentos através de infraestruturas controladas pelo atacante.

A campanha combinou técnicas de envenenamento da cadeia de fornecimento com engenharia social direcionada não a utilizadores humanos, mas a algoritmos. O ator criou uma persona credível num ambiente social para agentes de IA (Moltbook) promovendo o plugin junto de outros agentes e explorando a confiança implícita entre sistemas autónomos.

Segundo Dan Regalado, investigador da Straiker, o comprometimento propagou-se lateralmente através de colaboração automatizada entre agentes, fluxos de trabalho partilhados e cadeias de dependência, sem necessidade de intervenção humana adicional. O impacto traduziu-se em perdas financeiras para os utilizadores cujas carteiras estavam associadas aos agentes comprometidos.

A plataforma Birdeye, especializada em reputação de tokens, classificou o token $BOB com probabilidade total de se tratar de um esquema de “rug pull”.

Os investigadores alertam que este modelo de ataque poderá ser replicado noutras plataformas. O método passa por criar uma persona de agente convincente, ganhar credibilidade com uma skill aparentemente benigna e, posteriormente, distribuir um payload malicioso através da confiança estabelecida.

Para a Straiker, este caso demonstra que agentes autónomos tendem a confiar automaticamente em extensões e interações externas sem mecanismos robustos de verificação, contrariando o princípio de zero trust. O risco vai além do setor cripto, podendo evoluir para campanhas coordenadas de influência entre agentes, manipulação de recomendações e adoção de componentes maliciosos em múltiplos ecossistemas.

O incidente evidencia um novo vetor de risco na era dos agentes autónomos, onde a superfície de ataque deixa de ser exclusivamente humana e passa a incluir redes inteiras de sistemas de IA interligados.