Uma nova pesquisa de segurança cibernética revelou uma falha estrutural na cadeia de suprimentos de software que permite o envenenamento de agentes de inteligência artificial. A vulnerabilidade reside na capacidade de inserir instruções maliciosas em arquivos de habilidades (SKILL.md) que os agentes de IA utilizam, tornando-os vetores de ataque indetectáveis por scanners de segurança tradicionais, como SAST e SCA.

Esses ataques podem resultar em consequências graves, incluindo a exfiltração de dados sensíveis, alterações de configuração não autorizadas e roubo de credenciais, tudo isso sem serem identificados pelas ferramentas de segurança existentes. Casos como o CVE-2026-22708 e a campanha ClawHavoc já demonstram a exploração ativa dessas falhas. A ausência de controle de acesso adequado em Large Language Models (LLMs) e a facilidade de publicação de habilidades maliciosas contribuem para o alto risco, exigindo que as organizações implementem scanners de camada de agente e restrinjam privilégios de execução para proteger seus sistemas.