Anthropic, Google e Microsoft fecharam silenciosamente bugs em agentes de IA sem CVE e avisos

O problema com agentes de IA em desenvolvimento se mostrou não teórico: o pesquisador de segurança Aonan Guan demonstrou que ferramentas da Anthropic, Google e Microsoft integradas ao GitHub Actions podem ser interceptadas através de prompt injection e transformadas em um canal de vazamento de segredos. Em todos os três casos, o agente precisava apenas ler texto preparado por um atacante em um contexto de trabalho ordinário, após o qual publicaria chaves de API, tokens do GitHub e outros dados do ambiente CI por conta própria. O ataque foi nomeado Comment and Control.

Sua essência é que instruções maliciosas não estão escondidas em um exploit separado ou servidor externo, mas diretamente em dados do GitHub que o agente já é obrigado a ler para seu funcionamento: no cabeçalho da solicitação de pull, na descrição da issue, em comentários e, em um cenário, até mesmo em um comentário HTML oculto. Depois disso, o agente percebe o texto não como dados, mas como um comando. A partir daí, o esquema é simples: o bot lê a instrução injetada, executa a ação necessária, extrai segredos do ambiente de execução do GitHub Actions e devolve o resultado ao GitHub — por exemplo, em um comentário de PR, comentário de issue, commit ou log do pipeline.

No caso da Anthropic, o componente vulnerável era Claude Code Security Review — uma ação do GitHub para verificar pull requests em busca de problemas de segurança. Guan demonstrou que era suficiente injetar um payload no cabeçalho do PR para que o agente executasse comandos e incluísse o resultado em sua resposta JSON, que era então publicada em um comentário. De acordo com a linha do tempo do pesquisador, o relatório foi enviado à Anthropic em 17 de outubro de 2025, a empresa atribuiu ao problema a severidade CVSS 9.

4 e em 25 de novembro pagou $100 de bug bounty. A correção se resumiu à restrição parcial de chamadas perigosas e atualização da seção de considerações de segurança na documentação, mas a empresa não emitiu nenhum aviso de segurança público nem um CVE separado. Um cenário semelhante funcionou contra a ação Google Gemini CLI.

Aqui o atacante adicionava a issues e comentários um texto que era disfarçado como um fragmento de contexto confiável e substituía as instruções de proteção do modelo. Como resultado, o agente publicava sua própria chave GEMINI_API_KEY como um comentário comum. De acordo com a linha do tempo de Guan, o Google recebeu o relatório em 29 de outubro de 2025 e em 20 de janeiro de 2026 pagou $1.

337. O GitHub Copilot Agent, que pertence à linha de produtos da Microsoft, tinha um esquema ainda mais interessante: a instrução maliciosa era colocada em um comentário HTML, invisível para humanos na renderização do Markdown, mas legível para o agente. Após receber uma tarefa atribuída, o Copilot seguia essas instruções apesar das camadas de proteção adicionais como filtragem de ambiente, secret scanning e restrições de rede.

O GitHub inicialmente fechou o relatório como informativo, depois após análise adicional o reabre e em 9 de março pagou $500. A conclusão mais desagradável aqui não é sobre o tamanho do bounty, mas sobre o modelo de divulgação. Nem a Anthropic, nem o Google, nem o GitHub emitiram advertências públicas no formato usual de segurança, e os CVEs para esses casos nunca surgiram.

Isso significa que equipes que fixaram versões antigas de ações ou integrações poderiam nunca ter sabido sobre o risco. Para scanners de vulnerabilidades, tal problema como que não existe, porque não tem nenhum identificador padrão. Para equipes de segurança, é mais difícil colocar sob controle, rastrear em registros e vincular a procedimentos internos de correção.

Formalmente, as empresas poderiam considerar prompt injection não um bug clássico no código, mas um efeito colateral da arquitetura do agente, mas do ponto de vista prático as consequências são as mesmas de qualquer vulnerabilidade crítica: vazamento de chaves de acesso e tokens do ambiente onde a automação está em execução. A história também é importante porque questiona uma suposição básica de toda a onda de automação de IA no desenvolvimento. Um agente recebe simultaneamente acesso a entrada de usuário não confiável, a ferramentas de execução de comando e a segredos sensíveis, porque caso contrário não consegue fazer trabalho útil.

É precisamente essa combinação que cria risco sistêmico. Se a indústria continuar incorporando tais agentes em revisão de código, triage, implantação e CI/CD sem um modelo adequado de isolamento e procedimento de divulgação de incidentes, ataques como esse se tornarão não uma exceção, mas uma parte regular do modelo de ameaça.