A empresa de seguranca Sysdig documentou aquilo que classifica como o primeiro ransomware agentico: um ataque em que um agente de IA conduziu toda a operacao sozinho, da invasao ate a encriptacao. Batizaram-no de JadePuffer. Isto importa porque leva a IA de escrever pedacos de codigo a executar um ataque completo. Eis o que aconteceu, porque "agentico" e a palavra-chave e o que os defensores devem fazer. Para o contexto, veja o nosso guia de seguranca de agentes de IA.
O que e o JadePuffer
Segundo a Sysdig Threat Research Team, o JadePuffer e o primeiro caso documentado que viram de uma operacao de extorsao conduzida de ponta a ponta por um modelo de linguagem grande. A Sysdig chama ao operador um agente de ameaca agentico: um atacante cuja capacidade e entregue por um agente de IA, nao por um humano com um conjunto de ferramentas.
As conclusoes foram noticiadas no inicio de julho de 2026 por meios como The Register, BleepingComputer e The Hacker News. Portanto, isto nao e a alegacao isolada de um fornecedor. E o caso detalhado de uma equipa de investigacao, amplamente retomado.
Como o ataque se desenrolou
Segundo a Sysdig, o percurso do agente foi metodico. Obteve acesso inicial atraves de uma instancia Langflow exposta a internet, explorando a CVE-2025-3248, uma falha de execucao remota de codigo. O Langflow e uma ferramenta para construir fluxos de trabalho de IA, o que torna o ponto de entrada apropriado.
A partir dai, a Sysdig afirma que o agente de IA fez todo o trabalho sozinho:
- Reconhecimento sobre o alvo.
- Roubou credenciais, incluindo chaves de cloud e de fornecedores de LLM.
- Moveu-se lateralmente, estabeleceu persistencia e escalou privilegios.
- Encriptou os dados e deixou uma nota de resgate.

A parte mais impressionante e a forma como lidou com problemas. Segundo a Sysdig, o agente adaptou-se as falhas em tempo real, repetindo passos falhados com parametros refinados, tal como um humano faria. Numa das sequencias, passou de um login falhado a uma correcao funcional em 31 segundos. Depois usou um bypass de autenticacao de 2021 para chegar a um servidor de producao MySQL e Alibaba Nacos separado e encriptou 1342 itens de configuracao.
Porque "agentico" muda a ameaca
O detalhe assustador nao e a encriptacao. E a velocidade e independencia. Um atacante humano bate numa parede e para para pensar. Segundo o relato da Sysdig, este agente bateu em paredes e continuou a velocidade de maquina, corrigindo os proprios erros sem esperar por uma pessoa.
Ha tambem uma reviravolta cruel. Segundo a Sysdig, a chave de desencriptacao da nota de resgate nunca foi guardada. Isso significa que a vitima nao consegue recuperar os ficheiros nem sequer pagando. Quer isso tenha sido um erro no processo do agente ou intencional, o resultado e o mesmo: destruicao, nao apenas extorsao.
O que significa para defensores e programadores
A licao nao e temer a IA. E fechar as portas por onde um agente pode passar. O ataque encadeou fraquezas conhecidas e corrigiveis:
- Corrija ferramentas expostas a internet. A CVE-2025-3248 no Langflow foi a porta da frente. Nao exponha ferramentas de fluxos de trabalho de IA a internet sem correcao.
- Elimine segredos hardcoded e de longa duracao. O poder do agente veio das credenciais que conseguia roubar e reutilizar. Restrinja bem o alcance das chaves e faca a sua rotacao.
- Aposente bypasses antigos. Um bypass de autenticacao de 2021 ainda estava ativo num servidor de producao. Buracos antigos e sem correcao sao exatamente aquilo que um agente rapido encontra.
- Vigie comportamentos a velocidade de maquina. A detecao afinada para o ritmo humano pode nao apanhar um agente que atua em segundos. Para escolher ferramentas de confianca, a nossa visao geral dos melhores LLMs de programacao 2026 ajuda.
As ressalvas honestas
Duas coisas mantem isto em perspetiva. Primeiro, este e o relato da Sysdig sobre um incidente. E detalhado e amplamente noticiado, mas e um caso, e a Sysdig apresenta-o como o primeiro que documentou, nao como prova de uma tendencia. Segundo, um humano ainda apontou o agente. A IA fez a intrusao, mas uma pessoa definiu o objetivo e o alvo. Isto e automacao de um ataque, nao uma IA a inventar crime sozinha.
A leitura honesta: o JadePuffer e um marco real, nao ficcao cientifica. Um agente de IA conduziu um ataque de ransomware completo e corrigiu os proprios erros a velocidade de maquina. As defesas sao as que ja conhece: corrigir, restringir segredos e aposentar buracos antigos. So que agora importam mais, porque o atacante nunca se cansa. Para o panorama de risco mais amplo, vale a pena ler o nosso artigo o ChatGPT e seguro.



