Sua IA está em conformidade? Registre-se Hoje

Indústria

Seu Usuário Mais Perigoso Não É Humano: Como Agentes de IA e Servidores MCP Quebraram a Barreira de APIs Internas

February 19, 2026

Eric Schwake
Head of Product Marketing

Destaques

  • O Perímetro é Poroso: A IA Agente Moderna e o Protocolo de Contexto de Modelo (MCP) efetivamente viraram os data centers internos do avesso, tornando obsoleto o modelo de segurança de "API interna".
  • O Risco do "Agente Confuso": Agentes de IA legítimos atuam como entidades internas confiáveis, mas podem ser explorados para contornar políticas de Prevenção de Perda de Dados (DLP), como visto em vulnerabilidades recentes do Microsoft Office.
  • Além do WAF: WAFs tradicionais e Gateways de API são cegos ao tráfego lateral "Leste-Oeste" e não conseguem detectar as sutis anomalias comportamentais inerentes às interações de IA para API.
  • Defesa de Três Pilares da Salt: Para proteger a Camada de Ação Agêntica, as organizações precisam de descoberta contínua, governança adaptativa e proteção comportamental baseada em intenção.

No mês passado, a Microsoft confirmou discretamente algo que deveria tirar o sono de todo CISO.

Conforme noticiado inicialmente por BleepingComputer e posteriormente detalhado por TechCrunch, um bug no Microsoft Office permitiu que o Copilot, o assistente de IA incorporado em milhões de ambientes corporativos, resumisse e entregasse e-mails confidenciais a usuários que não deveriam vê-los. Rótulos de sensibilidade? Ignorados. Políticas de prevenção de perda de dados (DLP)? Totalmente contornadas.

Este não foi o trabalho de um hacker ou malware. Esta foi uma ferramenta interna confiável fazendo exatamente o que foi projetada para fazer: processar dados. A IA não invadiu. Ela já estava lá dentro.

Obtenha o relatório mais recente: O Estado da Segurança de IA e API: Navegando na Era Agêntica

A Ilusão da Zona Segura Interna

Por anos, as equipes de segurança operaram sob uma suposição reconfortante: APIs internas são seguras porque estão atrás do gateway. Desafiamos esse mito em nosso mais recente Guia Prático, mas o incidente da Microsoft prova que a realidade é muito mais volátil.

Ao implantar um agente de IA, você está entregando a uma entidade altamente privilegiada as chaves dos seus dados internos. Você está confiando que ele respeitará cada política de acesso, rótulo de sensibilidade e limite de permissão que você construiu. Quando isso não acontece: quando ele processa um contexto incorretamente ou lê um rótulo de forma errada, não há alarme. Nenhuma solicitação bloqueada na borda. Apenas dados sensíveis, silenciosamente entregues à pessoa errada.

O "Deputado Confuso" Já Está na Sua Folha de Pagamento

Pesquisadores de segurança chamam isso de problema do deputado confuso. Ele ocorre quando uma entidade confiável com acesso legítimo é enganada (ou simplesmente mal configurada) para agir contra seus interesses.

Com a ascensão do Model Context Protocol (MCP), este problema está prestes a piorar drasticamente. O MCP é o "USB-C para IA", projetado para permitir que agentes se conectem a qualquer fonte de dados interna com facilidade universal. Para a produtividade, é um avanço. Para a segurança, é um pesadelo: cada conexão MCP é um novo pipeline que ignora completamente seu perímetro.

Um desenvolvedor inicia um servidor MCP para permitir que um agente de IA consulte um banco de dados de clientes. Esse agente agora tem uma conexão direta e autenticada com dados sensíveis. Ele não atravessa seu gateway de API. Ele não passa pelo seu WAF. Ele simplesmente se comunica com os dados, no fundo da sua rede, em uma conversa que sua pilha de segurança nunca vê.

Por Que Seu WAF Está Olhando Para a Porta Errada

Aqui está a verdade incômoda: seu WAF e gateway de API foram construídos para um mundo que não existe mais.

Eles analisam tráfego Norte-Sul: solicitações vindas do mundo exterior. Eles são excelentes em detectar assinaturas de ataque conhecidas que atingem sua porta de entrada. Mas o bug do Microsoft Copilot não veio pela porta da frente. Aconteceu nos corredores.

Tráfego Leste-Oeste: a comunicação lateral entre microsserviços, agentes de IA e armazenamentos de dados, é onde o risco real reside agora. Ferramentas de perímetro tradicionais são completamente cegas a isso. A vulnerabilidade do Copilot não foi um payload malicioso; foi uma falha de validação de contexto. Nenhuma assinatura para detectar. Nenhuma anomalia na borda. Quando algo poderia ter sido sinalizado, os dados já estavam expostos.

Protegendo as Conversas Que Você Não Consegue Ver

Para deter esses riscos, é necessária uma abordagem fundamentalmente diferente: uma que vá além da defesa de perímetro e entre na Camada de Ação Agêntica, onde os agentes de IA realmente operam.

  • Enxergue Tudo: Você não pode proteger conexões que não sabe que existem. A Salt descobre automaticamente cada servidor MCP, cada ponte de IA para dados e cada agente oculto que um desenvolvedor implantou sem informar a segurança. A descoberta contínua é a única base para a governança de IA.
  • Imponha Governança na Velocidade da Máquina: Agentes de IA não deveriam ter acesso irrestrito. A Salt impõe governança adaptativa para identidades máquina a máquina, garantindo que um agente possa chamar apenas as APIs específicas de que precisa. Isso impede que "deputados confusos" cheguem a dados sensíveis.
  • Monitore a Intenção, Não Apenas o Tráfego: Ferramentas tradicionais não conseguem ler a intenção de uma conversa. A Análise de Intenção patenteada da Salt estabelece o que é considerado normal para cada agente. Um agente que normalmente processa dez e-mails de repente resume milhares? Isso é uma anomalia comportamental. A Salt sinaliza e bloqueia essas ameaças baseadas em lógica em tempo real.

O Fim do Modelo de Confiança Interna

A principal lição do incidente da Microsoft não é apenas que o Copilot tinha um bug. Bugs acontecem. A verdadeira lição é que a arquitetura da IA moderna: agentes operando profundamente dentro de redes confiáveis, consumindo APIs em escala, tomando decisões de contexto autonomamente, quebrou fundamentalmente o modelo de confiança interna.

Seus usuários mais privilegiados não são mais humanos. Seu perímetro é uma ficção. E a única defesa que funciona é entender a intenção.

Toda API agora é uma API de borda. A única questão é se você consegue ver o que está acontecendo nessa borda.

Se você quiser saber mais sobre a Salt e como podemos ajudar, por favor, entre em contato conosco, agende uma demonstração, ou visite nosso site. Você também pode obter uma Avaliação Gratuita da Superfície de Ataque de API da equipe de pesquisa da Salt Security e descubra o que os atacantes já sabem.

Blog da Salt Security

Assine a Newsletter da Salt para receber os recursos e posts de blog mais recentes.

Nossas últimas publicações