Você conectou seu agente de IA novinho ao Slack, Linear, GitHub e e-mail na semana passada. Cinco ferramentas, um assistente autônomo, zero atrito. Sua rotina matinal finalmente parecia o futuro que todo mundo promete desde 2023. Parabéns — você também construiu uma superfície de ataque que deixaria um Windows XP de 2005 com inveja.

O problema que ninguém mencionou durante o onboarding: cada mensagem, ticket, issue e documento que seu agente lê é texto escrito por outra pessoa. E seu agente — movido por um LLM (large language model, o cérebro por trás do ChatGPT, Claude, Gemini) — não consegue distinguir suas instruções de instruções que alguém escondeu dentro daquele texto. Essa falha tem nome: prompt injection — quando um atacante embute comandos ocultos em conteúdo aparentemente inofensivo, e a IA obedece eles em vez de obedecer você.

Prompt injection deixou de ser teoria em fevereiro, quando o ataque Clinejection exfiltrou chaves SSH de aproximadamente 4.000 desenvolvedores usando caracteres Unicode invisíveis escondidos em títulos de issues no GitHub. Aquilo foi a prova de conceito. Abril de 2026 é o deploy em produção.

Em 4 de abril, a empresa de segurança em nuvem Wiz publicou uma análise de uma campanha de supply chain chamada prt-scan: um único ator de ameaça enviou 475 pull requests maliciosos em 26 horas usando payloads gerados por IA que se adaptavam ao stack de cada repositório. Repo Python? Injeta via conftest.py. Node.js? Envenena o package.json. Rust? Escorrega no build.rs. O ferramental do atacante — essencialmente um agente atacando outros agentes — operava num ritmo que nenhum revisor de código humano conseguiria acompanhar. Roubo verificado incluiu chaves AWS, tokens de API da Cloudflare e credenciais da Netlify.

Em 11 de abril, duas vulnerabilidades críticas (CVE-2026-5058 e CVE-2026-5059, ambas com score 9.8 de 10) apareceram no servidor MCP da AWS — MCP (Model Context Protocol) sendo o padrão universal de plug para conectar agentes de IA a ferramentas externas, tipo USB só que para dados. Ambas as falhas permitiam execução remota de código sem autenticação. Sem login. Bastava enviar o texto certo. Os buracos da AWS não foram casos isolados: o servidor MCP da Microsoft Azure foi lançado sem autenticação alguma (CVE-2026-32211, divulgada em 3 de abril), e em 7 de abril uma falha de DNS rebinding (CVE-2026-35568) no MCP Java SDK permitia que atacantes sequestrassem servidores de IA rodando localmente através do navegador da vítima.

Em 9 de abril, o time Unit 42 da Palo Alto documentou 22 técnicas distintas que atacantes usam no mundo real: texto de tamanho zero, supressão por CSS, codificação Base64, overrides direcionais Unicode.

A conclusão deles merece uma linha própria: "A web em si efetivamente se torna um mecanismo de entrega de prompts para LLMs."

A superfície de ataque escala de forma multiplicativa. Um agente conectado a cinco ferramentas tem cinco canais de entrada para texto envenenado. Encadeie agentes — Slack aciona Linear que aciona um agente de código — e uma injeção cascateia por cada handoff. O pesquisador de segurança Simon Willison enquadrou a questão com precisão no seu post de 6 de abril: "A Tríade Letal" — acesso a dados privados + exposição a conteúdo não confiável + qualquer vetor de exfiltração = roubo de dados garantido. A avaliação dele sobre fornecedores que alegam 95% de prevenção de ataques: "95% é definitivamente uma nota reprovada."

A Microsoft tacitamente reconheceu a lacuna em 2 de abril ao disponibilizar como open source um Agent Governance Toolkit — enforcement de políticas em runtime em menos de 0.1ms, sete pacotes, 9.500 testes, suporte para Python, TypeScript, Rust, Go e .NET. É um bom começo. É também uma admissão de que nenhuma plataforma existente tem isso embutido.

Antes de conectar a ferramenta número seis, audite quais ações seu agente pode executar de forma autônoma. Parta do princípio de que cada texto que ele lê — cada mensagem no Slack, cada ticket no Jira, cada assunto de e-mail — é um comando potencial não assinado rodando com as suas credenciais.

O agente mais perigoso não é o mais inteligente. É o que tem mais permissões e nenhuma ideia de que já foi comprometido.