AiSec: Framework de Analise de Seguranca para Agentes de IA

Em marco de 2025, a equipe de seguranca da Xcapit recebeu um pedido que testaria cada suposicao que tinham sobre seguranca em IA: auditar o OpenClaw, um framework de agentes de IA open-source sendo implantado em servicos financeiros e saude — setores onde uma unica vulnerabilidade poderia expor milhoes de registros. A equipe havia passado seis anos construindo ferramentas de seguranca, comecando com penetration testing manual em 2019 e evoluindo ao longo do boom da IA. Mas o OpenClaw era diferente. Seus agentes podiam chamar APIs externas, executar codigo e encadear acoes autonomamente. A superficie de ataque não era uma aplicacao web com endpoints conhecidos — era um sistema que podia decidir, em tempo de execucao, fazer coisas que seus criadores nunca anteciparam.

O Desafio

Scanners de seguranca tradicionais foram construidos para um mundo onde o software faz o que seu codigo diz. Snyk encontra CVEs conhecidos em dependencias. Semgrep compara padroes de codigo com bancos de dados de vulnerabilidades. Essas ferramentas são essenciais — mas são cegas para uma categoria inteiramente nova de ameacas que emergem quando agentes de IA operam autonomamente.

Considere os vetores de ataque que scanners tradicionais não conseguem detectar:

• Injecao de prompts: Um atacante incorpora instrucoes em dados fornecidos pelo usuario que sobrescrevem o prompt do sistema do agente. Em 2024, pesquisadores demonstraram que um curriculo enviado a uma ferramenta de RH potencializada por IA podia instruir o agente a enviar por email todos os dados dos candidatos para um endereco externo — e o agente obedeceu, porque não conseguia distinguir entre suas instrucoes e as do atacante.
• Exfiltracao de dados atraves de saidas do modelo: Um agente processando documentos confidenciais pode ser manipulado para codificar dados sensiveis em suas respostas — não atraves de um exploit de rede, mas elaborando entradas que fazem o modelo 'vazar' dados de treinamento ou conteudo da janela de contexto.
• Escalacao de privilegios via uso de ferramentas: Agentes de IA que podem chamar ferramentas (bancos de dados, APIs, comandos shell) podem ser enganados para encadear chamadas de ferramentas de maneiras que escalam privilegios. Um agente com acesso somente leitura ao banco de dados, por exemplo, pode ser manipulado para chamar uma ferramenta diferente que escreve dados.
• Ataques a cadeia de suprimentos sobre pesos de modelos: Atores maliciosos podem publicar modelos fine-tuned que contem backdoors — o modelo funciona normalmente com entradas padrao mas ativa comportamento danoso em frases-gatilho especificas.

Nenhum scanner existente aborda essas ameacas de forma holistica. O OWASP publicou seu AI Top 10 em 2023, o MITRE lancou o framework ATLAS e o EU AI Act exigiu avaliacoes de seguranca — mas as ferramentas ficaram atras dos padroes. As organizacoes sabiam o que deviam testar mas não tinham uma forma automatizada de faze-lo.

A Auditoria do OpenClaw: Validacao no Mundo Real

Por que OpenClaw

O OpenClaw foi escolhido como alvo de validacao do AiSec porque representa o padrao arquitetural mais comumente implantado em IA empresarial: um framework multi-agente onde os agentes se coordenam atraves de estado compartilhado, chamam ferramentas externas via APIs e processam entradas de usuarios com sanitizacao minima. Se o AiSec conseguisse auditar o OpenClaw de forma abrangente, poderia auditar a vasta maioria dos deployments de agentes de IA em producao.

Metodologia de Auditoria

O AiSec implantou todos os 35 agentes de seguranca especializados contra o codebase do OpenClaw em um processo de tres fases:

• Fase 1 — Varredura individual de agentes: Cada um dos 35 agentes analisou independentemente o codebase de sua perspectiva especializada. O agente de injecao de prompts testou o tratamento de entradas em todos os endpoints dos agentes. O agente de escalacao de privilegios mapeou cadeias de chamadas de ferramentas e limites de permissoes. O agente de cadeia de suprimentos analisou o carregamento de modelos e a integridade das dependencias.
• Fase 2 — Correlacao cruzada entre agentes: O motor de correlacao ingeriu todos os achados dos 35 agentes e aplicou 31 regras de correlacao para identificar vulnerabilidades compostas — casos onde achados de baixa severidade individual se combinam em cadeias de ataque criticas. Por exemplo: uma lacuna de validacao de entrada de severidade media mais uma configuracao incorreta de permissoes de ferramentas de severidade media juntas habilitam um caminho critico de exfiltracao de dados.
• Fase 3 — Verificacao manual e classificacao de severidade: O sistema de pontuacao AI-CVSS do AiSec classificou cada achado por severidade, considerando fatores especificos de IA como manipulabilidade do modelo, exposicao de chain-of-thought e escopo de acoes autonomas. Engenheiros de seguranca humanos entao verificaram uma amostra de achados para validar a precisao.

O que Foi Encontrado

A auditoria identificou 63 achados de seguranca — 4.2x mais do que Snyk e Semgrep encontraram ao varrer o mesmo codebase. A divisao por categoria revela a lacuna entre a varredura tradicional e a analise de seguranca especifica para IA:

• Vulnerabilidades de injecao de prompts: 14 achados, incluindo 3 caminhos criticos onde entradas de usuarios podiam sobrescrever prompts do sistema em configuracoes de agentes em producao
• Uso de ferramentas e escalacao de privilegios: 11 achados, incluindo cadeias de delegacao agente-a-agente que contornavam limites de permissoes
• Tratamento de dados e riscos de exfiltracao: 9 achados, incluindo conteudos de janela de contexto não criptografados persistidos em armazenamento compartilhado
• Riscos de cadeia de suprimentos e dependencias: 8 achados, incluindo downloads de pesos de modelos não assinados de registros publicos
• Vulnerabilidades compostas (correlacao cruzada): 12 achados que nenhum scanner individual detectou, representando as cadeias de ataque mais criticas
• Configuracao e hardening de deployment: 9 achados relacionados a configuracoes padrao, endpoints de debug expostos e rate limits ausentes

As 12 vulnerabilidades compostas foram particularmente significativas. São cadeias de ataque que so se tornam visiveis quando se correlacionam achados de multiplos dominios de seguranca — exatamente o tipo de ameaca que scanners de proposito unico não detectam. Uma ferramenta de analise estatica ve um tratador de entrada permissivo. Um scanner de dependencias ve uma biblioteca desatualizada. Apenas um motor de correlacao ve que juntos, permitem a um atacante injetar um prompt que aciona uma dependencia vulneravel para exfiltrar dados.

De Consultoria a Produto

O AiSec não comecou como um produto. Comecou como uma necessidade interna. Em 2019, a pratica de ciberseguranca da Xcapit realizava penetration testing manual e consultoria de seguranca para clientes na America Latina e Europa. A medida que a equipe acumulou metodologias de auditoria, comecou a automatizar tarefas de analise repetitivas — primeiro como scripts, depois como agentes coordenados, depois como um framework completo.

A evolucao seguiu um caminho claro: a consultoria manual (2019-2021) construiu a experiencia de dominio. As ferramentas internas (2021-2023) codificaram essa experiencia em agentes automatizados. O framework open-source (2023-2024) tornou as ferramentas reutilizaveis entre projetos. E a plataforma cloud (2025) a tornou acessivel para organizacoes sem equipes de seguranca dedicadas. Cada etapa se construiu sobre os artefatos da anterior, razao pela qual os 250+ detectores do AiSec refletem achados de auditorias reais em vez de taxonomias teoricas de vulnerabilidades.

Resultados e Impacto

• 35 agentes de seguranca especializados com 250+ detectores de vulnerabilidades
• 63 achados na auditoria do OpenClaw (4.2x mais do que Snyk/Semgrep sozinhos)
• 31 regras de correlacao cruzada entre agentes para deteccao de vulnerabilidades compostas
• 8 frameworks de compliance (OWASP AI Top 10, NIST AI RMF, EU AI Act, ISO 42001, ISO 27001, GDPR, SOC2, MITRE ATLAS)
• 4 minutos de tempo medio de varredura com execucao paralela de agentes
• Auto-remediacao com patches de codigo gerados e criacao de PR
• 12 vulnerabilidades compostas descobertas que nenhum scanner individual detectou

Stack Tecnologico

• Motor de orquestracao Python/Django coordenando 35 agentes de seguranca em paralelo
• Docker/Kubernetes para execucao isolada de varreduras com limites de recursos por agente
• Falco com sondas eBPF para monitoramento de conteineres em tempo de execucao e deteccao de anomalias
• Sistema de pontuacao AI-CVSS adaptado para avaliacao de severidade de vulnerabilidades especificas de IA
• Exportacao em formato SARIF para integracao nativa com GitHub Actions, GitLab CI e Jenkins