Nova Vulnerabilidade em Código de IA Expõe Milhões a Possíveis Ataques Cibernéticos

Pesquisadores da Pillar Security descobriram uma vulnerabilidade significativa no GitHub Copilot e Cursor, dois assistentes de codificação amplamente utilizados alimentados por IA.

Apelidado de “Regras File Backdoor”, este novo método de ataque permite que hackers incorporem instruções maliciosas ocultas em arquivos de configuração, enganando a IA para gerar um código comprometido que pode burlar as verificações de segurança padrão.

Ao contrário dos ataques tradicionais que exploram vulnerabilidades de software conhecidas, essa técnica manipula a própria IA, tornando-a uma ferramenta involuntária para os criminosos cibernéticos. “Este ataque permanece praticamente invisível para os desenvolvedores e equipes de segurança”, alertaram os pesquisadores da Pillar Security.

A Pillar relata que as ferramentas de codificação AI generativas se tornaram essenciais para os desenvolvedores, com uma pesquisa do GitHub de 2024 revelando que 97% dos desenvolvedores empresariais dependem delas.

À medida que essas ferramentas moldam o desenvolvimento de software, também criam novos riscos de segurança. Os hackers agora podem explorar como os assistentes de IA interpretam os arquivos de regras – arquivos de configuração baseados em texto usados para guiar o comportamento de codificação da IA.

Esses arquivos de regras, muitas vezes compartilhados publicamente ou armazenados em repositórios de código aberto, geralmente são confiáveis sem escrutínio. Os invasores podem injetar caracteres Unicode ocultos ou sugestões sutis nesses arquivos, influenciando o código gerado pela IA de maneiras que os desenvolvedores talvez nunca detectem.

Uma vez introduzidas, essas instruções maliciosas persistem em projetos, espalhando silenciosamente vulnerabilidades de segurança. A Pillar Security demonstrou como um simples arquivo de regras poderia ser manipulado para injetar código malicioso.

Usando caracteres Unicode invisíveis e truques linguísticos, os invasores podem direcionar assistentes de IA para gerar código contendo vulnerabilidades ocultas – como scripts que vazam dados sensíveis ou contornam mecanismos de autenticação. Pior, a IA nunca alerta o desenvolvedor sobre essas modificações.

“Este ataque funciona em diferentes assistentes de codificação de IA, sugerindo uma vulnerabilidade sistêmica”, observaram os pesquisadores. Uma vez que um arquivo de regra comprometido é adotado, cada sessão subsequente de código gerado por IA naquele projeto se torna um potencial risco de segurança.

Esta vulnerabilidade tem consequências de longo alcance, pois arquivos de regra envenenados podem se espalhar por vários canais. Repositórios de código aberto representam um risco significativo, pois desenvolvedores desavisados podem baixar arquivos de regra pré-fabricados sem perceber que estão comprometidos.

As comunidades de desenvolvedores também se tornam um vetor de distribuição quando atores maliciosos compartilham configurações aparentemente úteis que contêm ameaças ocultas. Além disso, os modelos de projeto usados para configurar novos softwares podem, sem saber, transportar esses exploits, incorporando vulnerabilidades desde o início.

A Pillar Security divulgou o problema tanto para a Cursor quanto para o GitHub em fevereiro e março de 2025. No entanto, ambas as empresas colocaram a responsabilidade nos usuários. O GitHub respondeu que os desenvolvedores são responsáveis por revisar as sugestões geradas pela IA, enquanto a Cursor afirmou que o risco recai sobre os usuários que gerenciam seus arquivos de regras.