Quando a IA agêntica vira vetor de risco.
Em junho de 2025, nenhum invasor precisou forçar uma entrada no Microsoft 365 Copilot.
Não houve ataque de força bruta, nem credenciais roubadas por phishing clássico, nem exploração noturna de portas abertas.
Foi silencioso e mais sofisticado. Ou seja: muito mais difícil de detectar.
Bastou um e-mail. Um e-mail aparentemente comum, contendo instruções ocultas de injeção de prompt.
Quando o Copilot interagiu com essa mensagem, ele simplesmente obedeceu: acessou arquivos no Outlook, no OneDrive e no SharePoint e os desviou para servidores externos controlados pelos atacantes. Para o usuário, a tela mostrava tudo funcionando normalmente. Nos bastidores, dados confidenciais vazaram de forma lenta, sistemática e completamente invisível.
Esse incidente, batizado de EchoLeak e identificado por pesquisadores da Aim Security, não foi apenas uma falha técnica. Foi a prova documental de que existe uma nova categoria de risco corporativo que a maioria das empresas ainda não sabe nomear, medir ou tratar: o agente de IA que age por conta própria, a serviço de quem não deveria.
A nova fronteira de risco: o agente sem dono
Toda vez que uma área de negócio instala um agente de IA para automatizar um relatório, agilizar uma aprovação ou conectar uma planilha a um sistema de CRM, ela cria um ator digital.
Esse ator tem acesso a sistemas críticos, opera com dados sensíveis e toma decisões reais dentro da organização.
O problema é que, na esmagadora maioria dos casos, esse ator não tem dono declarado, não tem limites formalizados e não existe em nenhum inventário de segurança.
Esse é o agente oculto: implantado por iniciativa de um time, sem governança central, sem visibilidade do CISO e sem qualquer política que defina o que ele pode ou não fazer.
O Google Cloud Cybersecurity Forecast identificou esse crescimento acelerado como uma nova categoria de ameaça, em que a proliferação de agentes autônomos por áreas de negócio cria superfícies de ataque invisíveis ao perímetro tradicional de segurança.
Os números do World Economic Forum tornam o cenário ainda mais urgente: 94% dos líderes globais já veem a IA como principal força de transformação em cibersegurança, e 87% identificam vulnerabilidades relacionadas à IA como o risco que mais cresce em suas organizações.
Isso significa que o problema não é mais teórico, nem distante. Ele está em produção. Ele está ativo. E ele provavelmente já existe dentro da sua empresa.
Governança de IA: a pergunta que ninguém fez antes do EchoLeak
O que o caso EchoLeak deixa explícito não foi uma falha do Copilot, e sim a falha de processo decisório.
A vulnerabilidade se materializou porque a decisão de implantar o agente foi tomada sem que a liderança executiva fizesse a pergunta mais básica: “quem responde por este agente quando algo der errado?”
Esse vácuo de responsabilidade é o padrão recorrente nos incidentes mais graves envolvendo IA em ambiente corporativo.
Quando um agente executa sem supervisão, ele não é apenas uma automação de produtividade. Ele é um vetor de risco com credenciais, com acesso e com capacidade de ação em escala. Se ele for comprometido, ou simplesmente mal configurado, ele não erra de forma pontual. Ele age sistematicamente, na velocidade da máquina, enquanto os times de segurança ainda estão tentando entender o que está acontecendo.
A injeção de prompt, o vetor utilizado no EchoLeak, é um exemplo dessa dinâmica.
Ela não ataca o sistema diretamente. Ela manipula as instruções que o agente recebe, fazendo com que ele execute ações maliciosas acreditando que são legítimas.
É o equivalente digital de convencer um funcionário de confiança a entregar as chaves do cofre sem perceber que está sendo enganado. E enquanto as empresas não tratarem seus agentes de IA com o mesmo rigor com que tratam colaboradores com acesso privilegiado, a porta vai continuar aberta.
O que separa uma empresa resiliente de uma empresa exposta
Não é sobre SE sua organização vai adotar IA agêntica.
Essa decisão já foi tomada, de forma explícita ou silenciosa.
A sobre SE essa adoção acontece com governança real ou com otimismo irresponsável.
Organizações que sobreviverão aos próximos ciclos de ameaça são aquelas que tratam cada agente de IA como um ator digital com identidade própria: com humano responsável, com propósito declarado, com limites formais de acesso e com processos estabelecidos de supervisão e auditoria.
Isso não é burocracia. É o mínimo necessário para que a eficiência gerada pela IA não se transforme, do dia para a noite, em eficiência a serviço do adversário.
O Google Cloud Cybersecurity Forecast prevê que, até 2027, agentes de IA automatizarão ataques de roubo de credenciais e exploração de canais de autenticação, reduzindo em cerca de 50% o tempo necessário para explorar contas expostas. A velocidade do ataque não vai esperar que as empresas terminem seus projetos-piloto de governança.
O que toda liderança executiva precisa responder hoje não é “quanta eficiência estamos ganhando com IA”.
As perguntas certas são: “se um dos nossos agentes for comprometido agora, quem vai saber? Em quanto tempo? E quem tem autoridade para desligá-lo antes que o dano seja irreversível?”
Se essas respostas não existem, a empresa não tem uma estratégia de IA. Ela tem uma aposta.
IA como condição de existência do negócio
A discussão sobre agentes de IA e segurança ainda é tratada em muitas organizações como pauta do CISO, um problema técnico que o time de segurança vai resolver enquanto o negócio avança.
Essa separação é o erro mais caro que uma empresa pode cometer neste momento.
Quando um agente de IA opera com acesso a dados de clientes, processos financeiros ou propriedade intelectual, a cibersegurança deixa de ser um centro de custo e passa a ser uma condição de existência do negócio.
E falhas de governança nesse nível não geram apenas incidentes de segurança. Elas geram perda de confiança, exposição regulatória, dano reputacional e, dependendo da escala, interrupção operacional.
O EchoLeak foi descoberto por pesquisadores antes de causar um dano documentado em larga escala.
A maioria dos incidentes reais não tem essa sorte.
Eles são descobertos depois, quando os dados já foram exfiltrados, os registros já foram manipulados e o impacto já é irreversível.
No fundo, a IA agêntica não é mais um software que fica só esperando clicks e inputs. Ela funciona como um assistente que toma decisões por conta própria dentro do seu sistema. Quando você dá essa autonomia sem definir regras claras de segurança digital, você cria um vetor de risco silencioso. O grande perigo é que a IA não tem malícia: se um invasor enviar uma mensagem enganosa, ela vai executar o comando “pensando” que está apenas fazendo o seu trabalho.
A próxima edição do Frame Trends explora em profundidade como as organizações mais resilientes estão construindo governança real sobre seus agentes de IA, desde a arquitetura de identidade até os protocolos de resposta a incidentes envolvendo sistemas autônomos.
Acesse a análise executiva abaixo para saber mais.
- Aim Security: CVE-2025-32711 (EchoLeak) — Pesquisa sobre falha crítica no Microsoft 365 Copilot, junho de 2025.
- Google Cloud Cybersecurity Forecast 2026: Relatório sobre tendências de ameaças e adoção de agentes de IA.
- World Economic Forum: Global Cybersecurity Outlook 2026 — Dados sobre percepção de risco de IA por líderes globais.
- Gartner: Estudos sobre governança de IA e adoção de GenAI em organizações.
