Primeiro ransomware com IA agiu sozinho, corrigiu erro em 31 segundos e criptografou 1.342 itens
-
Maicon Ramos
- ciberataque, CVE 2025 3248, inteligência artificial, Langflow, ransomware, seguranca cibernetica
- 7 minutos de leitura
Navegue por tópicos
Pela primeira vez, um ransomware executou um ataque completo sem intervenção humana direta. Batizado de JadePuffer, o agente de IA explorou uma falha no Langflow (CVE-2025-3248), invadiu servidores, roubou credenciais, criptografou 1.342 itens e, mais impressionante ainda, corrigiu os próprios erros em 31 segundos. O caso, documentado pela Sysdig, acende um alerta para empresas brasileiras que adotam ferramentas No Code de IA.
Imagine um invasor que nunca dorme, nunca se distrai e aprende com cada erro em tempo real. Não é roteiro de ficção científica. É o JadePuffer, a primeira operação de ransomware totalmente conduzida por um agente de inteligência artificial, documentada em julho de 2026 pela equipe de pesquisa da Sysdig.
O nome pode soar exótico, mas o mecanismo é assustadoramente prático: um LLM (large language model) empoderado com ferramentas de execução remota, capaz de reconhecer alvos, tomar decisões, se adaptar a falhas e concluir o ataque do começo ao fim.
Como o JadePuffer invade o sistema?
Tudo começa com uma brecha conhecida: a CVE-2025-3248, vulnerabilidade de execução remota de código (RCE) sem autenticação no Langflow, uma plataforma open source No Code usada para criar aplicações com modelos de linguagem e agentes de IA.
O Langflow é popular justamente por facilitar a vida de quem quer construir fluxos de IA sem escrever código. Mas o mesmo acesso que um desenvolvedor usaria para criar um chatbot foi explorado pelo agente para injetar comandos Python arbitrários no servidor.
De posse desse acesso inicial, o JadePuffer:
- Extraiu credenciais de bancos de dados e variáveis de ambiente
- Enumereou servidores MinIO de armazenamento de objetos
- Escalou privilégios explorando a CVE-2021-29441 no Nacos (plataforma de descoberta de serviços)
- Criptografou 1.342 itens de configuração via MySQL AES_ENCRYPT()
- Exigiu resgate em Bitcoin (endereço: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy), com contato via Proton Mail
O agente também estabeleceu persistência: um cron job que contatava o servidor de comando e controle a cada 30 minutos.
O diferencial assustador: auto-correção em 31 segundos
O que separa o JadePuffer de ataques automatizados tradicionais é a capacidade de aprender e se adaptar.
Em uma das sequências documentadas pela Sysdig, o agente tentou criar uma conta de administrador no Nacos com um hash bcrypt gerado por ele mesmo. O login falhou. Um ataque tradicional teria travado ali. Mas o JadePuffer diagnosticou o erro, gerou um novo payload corrigido e executou a correção com sucesso — tudo em 31 segundos.
“O intervalo entre o login falho e a correção funcional é de 31 segundos”, escreveu a Sysdig. “Uma janela impossível para um humano operar manualmente.”
Os payloads carregam marcas de sua origem: extensos comentários de “auto-narração” que explicam cada seção do código, um padrão típico de código gerado por LLM, não escrito por humanos.
Roubo de chaves de API e carteiras de criptomoedas
Além de criptografar dados, o JadePuffer vasculhou o sistema em busca de chaves de API de provedores de IA, carteiras de criptomoedas e credenciais de bancos de dados. Ou seja: mesmo que a vítima pague o resgate, o estrago pode ser maior: as credenciais roubadas podem ser usadas em ataques futuros ou vendidas na dark web.
A TechCrunch resumiu bem: “o primeiro ataque de ransomware operado por IA ainda precisou de um humano” — a escolha do alvo e as credenciais iniciais foram fornecidas por um operador humano. Mas a execução, a tomada de decisão e a adaptação foram 100% do agente.
O que isso significa para o Brasil?
Empresas brasileiras que adotaram Langflow ou ferramentas No Code similares para acelerar projetos de IA estão na linha de frente. A facilidade de uso do Langflow também significa que muitas instâncias foram colocadas no ar sem as configurações mínimas de segurança: firewalls, autenticação, atualizações.
O cenário é parecido com o que vimos com o crescimento do uso de APIs e serviços em nuvem: a velocidade da inovação superou os controles de segurança. A diferença é que, agora, os invasores também usam IA.
Se você usa Langflow em produção, a recomendação é direta:
- Atualize o Langflow imediatamente: a CVE-2025-3248 tem correção disponível
- Atualize o Langflow imediatamente: a CVE-2025-3248 tem correção disponível
- Nunca deixe instâncias Langflow expostas na internet sem autenticação
- Nunca deixe instâncias Langflow expostas na internet sem autenticação
- Atualize o Nacos: a CVE-2021-29441 também é crítica
- Atualize o Nacos: a CVE-2021-29441 também é crítica
- Monitore conexões de saída: o beaconing de 30 minutos é detectável
- Monitore conexões de saída: o beaconing de 30 minutos é detectável
- Isole servidores de IA em redes segregadas e não os deixe na mesma VLAN dos bancos de dados
- Isole servidores de IA em redes segregadas e não os deixe na mesma VLAN dos bancos de dados
Em nossa análise de [SLA e uptime para serviços críticos](https://runzos.com/sla-e-uptime-guia-completo/), destacamos que infraestrutura de IA requer monitoramento contínuo, e isso inclui a postura de segurança de cada componente.
Um aviso, não um pânico
A Sysdig mesma classifica o JadePuffer como um “sinal de alerta”, não uma crise imediata. O ataque foi detectado justamente porque a equipe de segurança estava monitorando ativamente. O agente não é onipotente; ele ainda precisa de um ponto de entrada.
Mas o precedente está criado. Pela primeira vez, um ransomware mostrou que IA pode substituir não apenas o trabalho braçal do ataque, mas também a inteligência tática que antes exigia um humano no teclado. E, como todo avanço em cibersegurança, a pergunta não é se isso vai se tornar comum — é quando.














