Uma equipe de pesquisa da Universidade de Toronto, no Canadá, validou recentemente um protótipo de verme de computador adaptativo baseado em IA, demonstrando que modelos de inteligência artificial de código aberto com pesos disponíveis publicamente já são capazes de conduzir programas maliciosos para reconhecer autonomamente ambientes, avaliar pontos fracos de alvos, gerar estratégias de ataque e continuar a se replicar e propagar em redes fechadas. O estudo foi concluído em um laboratório digital isolado, com o objetivo de revelar antecipadamente os novos riscos de segurança que podem surgir da combinação de agentes de IA com vermes de rede.
O impacto desta pesquisa reside no fato de que ela eleva os vermes de rede tradicionais do nível de "ataque baseado em scripts fixos" para o de "ataque de raciocínio em tempo real". No passado, os vermes geralmente dependiam de cadeias de exploração de vulnerabilidades pré-escritas por humanos; uma vez que o ambiente alvo mudasse ou vulnerabilidades críticas fossem corrigidas por patches, sua capacidade de propagação diminuía rapidamente. O verme de IA demonstrado pela equipe da Universidade de Toronto é diferente: ele não se propaga apenas por uma única via de vulnerabilidade. Ao entrar em contato com um novo dispositivo, ele primeiro observa o ambiente do sistema e os serviços disponíveis, e então gera estratégias direcionadas combinando vulnerabilidades conhecidas, pontos fracos de configuração e informações de credenciais. Em outras palavras, ele possui uma certa capacidade de "observar o ambiente antes de agir", podendo ajustar suas rotas de acordo com diferentes hosts, sistemas e pontos fracos. A equipe de pesquisa enfatiza que o protótipo não dependeu dos modelos comerciais de grande porte mais avançados, nem utilizou capacidades de IA em nuvem controladas por plataformas centralizadas. Em vez disso, ele alcançou a propagação autônoma por meio de modelos de linguagem de grande porte com pesos abertos executados localmente e frameworks de agentes, o que coloca novas questões de fronteira para as defesas tradicionais baseadas em revisão de modelos pelos fabricantes, limitação de API ou mecanismos de recusa de resposta.
A rede experimental, denominada "FakeCorp", é composta por 33 máquinas virtuais, simulando múltiplas camadas de ataque em um ambiente empresarial moderno, incluindo diferentes alvos como sistemas Linux, Windows e dispositivos de Internet das Coisas. Os resultados da pesquisa mostram que, em cada rodada de operação totalmente autônoma de 7 dias, o verme de IA identificou em média 31,3 vulnerabilidades, obteve privilégios elevados em 23,1 hosts, replicou-se e propagou-se para 20,4 hosts, explorou com sucesso cerca de 73,8% dos alvos da rede, replicou-se para aproximadamente 61,8% dos nós da rede, e atingiu um máximo de 7 gerações de propagação. Esses dados não significam que redes do mundo real seriam comprometidas na mesma proporção, pois o ambiente experimental foi propositalmente configurado com pontos fracos exploráveis e não contava com sistemas completos de detecção de endpoints, antivírus ou firewalls ativos. No entanto, isso é suficiente para demonstrar que os agentes de IA já são capazes de conectar a cadeia de "descobrir alvo - formular estratégia - executar exploração - replicar a si mesmo", formando um novo tipo de ameaça cibernética autônoma que merece uma avaliação séria pela comunidade de pesquisa.
Mais preocupante ainda é que o perigo desse tipo de verme de IA não reside apenas na "capacidade de ataque", mas também na mudança na economia do ataque. A pesquisa mostra que, uma vez que o verme controle um host com recursos de GPU, ele pode executar um modelo de linguagem local na máquina vítima para fornecer capacidade de raciocínio para ataques subsequentes; para dispositivos sem poder computacional suficiente, ele pode solicitar suporte de raciocínio através de nós upstream já controlados. Dessa forma, após a implantação inicial, o custo marginal do atacante para infectar cada novo dispositivo diminui significativamente, e o processo de propagação pode continuamente absorver novos recursos computacionais. Na defesa e ataque cibernético tradicionais, os atacantes geralmente precisam fazer concessões entre tempo, mão de obra e poder computacional, priorizando apenas alvos de alto valor. Já um verme de IA adaptativo, se entrar em uma rede real, poderia teoricamente usar dispositivos de baixo valor como trampolins, incorporando impressoras, câmeras, estações de trabalho, servidores, dispositivos de controle de temperatura inteligentes, etc., na mesma cadeia de propagação, aproximando-se gradualmente de sistemas financeiros, redes hospitalares, infraestrutura de energia e sistemas de negócios centrais de empresas.
O valor central desta pesquisa inovadora em tecnologia não é gerar pânico, mas sim colocar na mesa, com antecedência, a forma que a segurança cibernética pode assumir nos próximos anos. No passado, a segurança de IA focava mais em saber se os grandes modelos produziriam conteúdo prejudicial, se seriam capazes de descobrir vulnerabilidades de dia zero, ou se seriam abusados por meio de jailbreaks. A direção demonstrada pela equipe da Universidade de Toronto sugere que o verdadeiro risco pode vir da combinação de "modelo + ferramenta + memória + ambiente de execução + mecanismo de replicação". A capacidade de um único modelo pode não ser excepcional, mas uma vez organizado por um framework de agentes e conectado a capacidades de ferramentas de rede, transferência de arquivos, execução de comandos e observação de alvos, ele pode exibir uma capacidade de ataque muito superior à avaliada em modelos isolados. A equipe de pesquisa também aponta que o protótipo pode utilizar informações de avisos públicos de vulnerabilidades para transformar vulnerabilidades recém-divulgadas em vetores de ataque, o que significa que a janela entre a divulgação de uma vulnerabilidade e a aplicação de um patch pode ser ainda mais comprimida pela automação de IA.
Do lado da defesa, a abordagem tradicional de "corrigir uma vulnerabilidade, bloquear um caminho" já não é suficiente para cobrir esse tipo de ameaça. Os sistemas de segurança futuros precisam monitorar simultaneamente a superfície de exposição de ativos, reutilização de credenciais, hierarquia de privilégios, movimentação lateral anômala, chamadas de GPU e poder computacional local, características comportamentais de agentes, vestígios de geração automatizada de scripts e sinais de propagação cooperativa em múltiplos nós. As empresas também precisam atualizar o gerenciamento de patches, a autenticação multifator, senhas fortes, a segmentação de rede, o princípio do menor privilégio, a detecção de endpoints e a correlação de logs de itens básicos de conformidade para linhas de defesa centrais na era da IA. Para governos, instituições de pesquisa e a indústria, este estudo fornece um sinal claro: a segurança de IA não pode avaliar apenas o modelo em si, mas deve também avaliar a capacidade geral do modelo quando inserido em uma cadeia de ferramentas, ambiente de execução e sistema de rede. O surgimento do verme de IA adaptativo leva a competição de segurança cibernética de "correção rápida de vulnerabilidades" para uma nova fase de "defesa rápida contra agentes autônomos".