Falhas em ferramentas de IA expõem dados corporativos e chaves de API

Pesquisadores de segurança identificaram falhas críticas em plataformas de IA amplamente utilizadas no ambiente corporativo, como o Microsoft 365 Copilot e o LiteLLM. A vulnerabilidade SearchLeak no Copilot demonstrou como a combinação de injeção de prompt e técnicas de SSRF pode comprometer a confidencialidade de dados sensíveis. Paralelamente, o LiteLLM enfrentou problemas de escalação de privilégios que expuseram chaves de API, enquanto ferramentas como o Langflow permanecem vulneráveis devido a configurações padrão inadequadas. Diante desse cenário, a CrowdStrike ampliou suas ferramentas de detecção na AWS para conter a crescente ameaça. Especialistas recomendam que as organizações adotem rigorosos controles baseados nos frameworks NIST e OWASP, além de implementar uma governança estrita sobre as identidades de agentes de IA, visando proteger a infraestrutura contra explorações que se tornam cada vez mais sofisticadas.