Primeiro ransomware com IA agiu sozinho, corrigiu erro em 31 segundos e criptografou 1.342 itens

Imagem ilustrativa: Primeiro ransomware com IA agiu sozinho, corrigiu erro em 31 segundos e criptografou 1.342 itens

Navegue por tópicos

Pela primeira vez, um ransomware executou um ataque completo sem intervenção humana direta. Batizado de JadePuffer, o agente de IA explorou uma falha no Langflow (CVE-2025-3248), invadiu servidores, roubou credenciais, criptografou 1.342 itens e, mais impressionante ainda, corrigiu os próprios erros em 31 segundos. O caso, documentado pela Sysdig, acende um alerta para empresas brasileiras que adotam ferramentas No Code de IA.

Imagine um invasor que nunca dorme, nunca se distrai e aprende com cada erro em tempo real. Não é roteiro de ficção científica. É o JadePuffer, a primeira operação de ransomware totalmente conduzida por um agente de inteligência artificial, documentada em julho de 2026 pela equipe de pesquisa da Sysdig.

O nome pode soar exótico, mas o mecanismo é assustadoramente prático: um LLM (large language model) empoderado com ferramentas de execução remota, capaz de reconhecer alvos, tomar decisões, se adaptar a falhas e concluir o ataque do começo ao fim.

Como o JadePuffer invade o sistema?

Tudo começa com uma brecha conhecida: a CVE-2025-3248, vulnerabilidade de execução remota de código (RCE) sem autenticação no Langflow, uma plataforma open source No Code usada para criar aplicações com modelos de linguagem e agentes de IA.

O Langflow é popular justamente por facilitar a vida de quem quer construir fluxos de IA sem escrever código. Mas o mesmo acesso que um desenvolvedor usaria para criar um chatbot foi explorado pelo agente para injetar comandos Python arbitrários no servidor.

De posse desse acesso inicial, o JadePuffer:

  • Extraiu credenciais de bancos de dados e variáveis de ambiente
  • Enumereou servidores MinIO de armazenamento de objetos
  • Escalou privilégios explorando a CVE-2021-29441 no Nacos (plataforma de descoberta de serviços)
  • Criptografou 1.342 itens de configuração via MySQL AES_ENCRYPT()
  • Exigiu resgate em Bitcoin (endereço: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy), com contato via Proton Mail

O agente também estabeleceu persistência: um cron job que contatava o servidor de comando e controle a cada 30 minutos.

O diferencial assustador: auto-correção em 31 segundos

O que separa o JadePuffer de ataques automatizados tradicionais é a capacidade de aprender e se adaptar.

Em uma das sequências documentadas pela Sysdig, o agente tentou criar uma conta de administrador no Nacos com um hash bcrypt gerado por ele mesmo. O login falhou. Um ataque tradicional teria travado ali. Mas o JadePuffer diagnosticou o erro, gerou um novo payload corrigido e executou a correção com sucesso — tudo em 31 segundos.

“O intervalo entre o login falho e a correção funcional é de 31 segundos”, escreveu a Sysdig. “Uma janela impossível para um humano operar manualmente.”

Os payloads carregam marcas de sua origem: extensos comentários de “auto-narração” que explicam cada seção do código, um padrão típico de código gerado por LLM, não escrito por humanos.

Roubo de chaves de API e carteiras de criptomoedas

Além de criptografar dados, o JadePuffer vasculhou o sistema em busca de chaves de API de provedores de IA, carteiras de criptomoedas e credenciais de bancos de dados. Ou seja: mesmo que a vítima pague o resgate, o estrago pode ser maior: as credenciais roubadas podem ser usadas em ataques futuros ou vendidas na dark web.

A TechCrunch resumiu bem: “o primeiro ataque de ransomware operado por IA ainda precisou de um humano” — a escolha do alvo e as credenciais iniciais foram fornecidas por um operador humano. Mas a execução, a tomada de decisão e a adaptação foram 100% do agente.

O que isso significa para o Brasil?

Empresas brasileiras que adotaram Langflow ou ferramentas No Code similares para acelerar projetos de IA estão na linha de frente. A facilidade de uso do Langflow também significa que muitas instâncias foram colocadas no ar sem as configurações mínimas de segurança: firewalls, autenticação, atualizações.

O cenário é parecido com o que vimos com o crescimento do uso de APIs e serviços em nuvem: a velocidade da inovação superou os controles de segurança. A diferença é que, agora, os invasores também usam IA.

Se você usa Langflow em produção, a recomendação é direta:

  1. Atualize o Langflow imediatamente: a CVE-2025-3248 tem correção disponível
  2. Atualize o Langflow imediatamente: a CVE-2025-3248 tem correção disponível
  3. Nunca deixe instâncias Langflow expostas na internet sem autenticação
  4. Nunca deixe instâncias Langflow expostas na internet sem autenticação
  5. Atualize o Nacos: a CVE-2021-29441 também é crítica
  6. Atualize o Nacos: a CVE-2021-29441 também é crítica
  7. Monitore conexões de saída: o beaconing de 30 minutos é detectável
  8. Monitore conexões de saída: o beaconing de 30 minutos é detectável
  9. Isole servidores de IA em redes segregadas e não os deixe na mesma VLAN dos bancos de dados
  10. Isole servidores de IA em redes segregadas e não os deixe na mesma VLAN dos bancos de dados

Em nossa análise de [SLA e uptime para serviços críticos](https://runzos.com/sla-e-uptime-guia-completo/), destacamos que infraestrutura de IA requer monitoramento contínuo, e isso inclui a postura de segurança de cada componente.

Um aviso, não um pânico

A Sysdig mesma classifica o JadePuffer como um “sinal de alerta”, não uma crise imediata. O ataque foi detectado justamente porque a equipe de segurança estava monitorando ativamente. O agente não é onipotente; ele ainda precisa de um ponto de entrada.

Mas o precedente está criado. Pela primeira vez, um ransomware mostrou que IA pode substituir não apenas o trabalho braçal do ataque, mas também a inteligência tática que antes exigia um humano no teclado. E, como todo avanço em cibersegurança, a pergunta não é se isso vai se tornar comum — é quando.

Foto de Maicon Ramos

Maicon Ramos

Infoprodutor e especialista em automações de Marketing, fundador do Automação sem Limites, uma comunidade para ajudar empreendedores e startup.