A segurança de agentes de IA acaba de ganhar um novo motivo de preocupação. Um estudo divulgado pelo AI Now Institute revelou uma técnica de ataque chamada Fogo Amigo (Friendly Fire), capaz de manipular agentes autônomos de inteligência artificial, como Claude Code e OpenAI Codex, para executar código malicioso presente em repositórios aparentemente legítimos. O mais preocupante é que o ataque utiliza arquivos comuns, como um simples README.md, para convencer a IA a executar comandos perigosos diretamente na máquina do usuário.
À medida que agentes de IA passam a desempenhar tarefas complexas, como revisar código, corrigir falhas, instalar dependências e automatizar fluxos de desenvolvimento, cresce também a superfície de ataque contra essas ferramentas. O estudo demonstra que o problema não está apenas em uma implementação específica, mas em uma limitação conceitual dos próprios modelos de linguagem.
Neste artigo, você entenderá como funciona o ataque Fogo Amigo, por que ele representa um desafio para a segurança de agentes de IA e quais medidas desenvolvedores e equipes de DevSecOps devem adotar para reduzir os riscos.
Como funciona o ataque Fogo Amigo na segurança de agentes de IA
O ataque Fogo Amigo explora uma característica essencial dos agentes autônomos de IA: sua capacidade de interpretar documentos, tomar decisões e executar ações sem intervenção humana constante.
Ferramentas como Claude Code e OpenAI Codex foram projetadas para analisar projetos completos, interpretar documentação, instalar bibliotecas, executar testes e corrigir problemas automaticamente. Esse comportamento aumenta significativamente a produtividade, mas também cria uma oportunidade para atacantes inserirem instruções maliciosas em arquivos considerados confiáveis.
Em vez de explorar uma vulnerabilidade tradicional, o ataque manipula o próprio processo de raciocínio do agente. A IA interpreta instruções escondidas em arquivos do projeto como se fossem parte legítima do fluxo de desenvolvimento.

A armadilha escondida no arquivo README.md
O elemento central do ataque é um arquivo aparentemente inocente: o README.md.
Normalmente utilizado para apresentar um projeto, fornecer instruções de instalação e explicar como executar uma aplicação, o README tornou-se um alvo ideal para ataques contra agentes de IA.
Os pesquisadores demonstraram que é possível inserir comandos cuidadosamente elaborados para convencer o agente de IA de que determinadas ações fazem parte do procedimento normal de configuração do ambiente.
Quando configurado para operar em modo autônomo, o agente pode interpretar essas instruções como legítimas e executar scripts, baixar arquivos ou iniciar binários sem solicitar confirmação ao usuário.
O resultado é especialmente perigoso porque, para a IA, não existe uma distinção clara entre uma instrução operacional válida e uma tentativa de manipulação escondida em documentação externa.
O truque do binário disfarçado
Outro aspecto interessante do estudo envolve a forma como os pesquisadores conseguiram contornar mecanismos básicos de proteção.
O binário malicioso foi camuflado para parecer um arquivo Go aparentemente inofensivo. Dessa forma, tanto Claude Code quanto agentes baseados no GPT-5.5 foram levados a interpretar o conteúdo como parte normal do projeto.
Esse tipo de disfarce dificulta a identificação automática da ameaça, principalmente quando a IA possui autorização para executar comandos, compilar aplicações ou instalar dependências durante a análise do repositório.
Na prática, o agente acredita estar apenas seguindo o fluxo esperado de desenvolvimento, enquanto executa um código capaz de comprometer o ambiente hospedeiro.
Segurança de agentes de IA enfrenta um problema estrutural
O estudo do AI Now Institute argumenta que o ataque Fogo Amigo não representa apenas uma falha de implementação. Segundo os pesquisadores, trata-se de um problema estrutural presente na arquitetura atual dos Large Language Models (LLMs).
Esses modelos não possuem uma separação confiável entre dois conceitos fundamentais:
- dados externos, que devem apenas ser interpretados;
- instruções de execução, que alteram o comportamento do agente.
Na prática, ambos são processados como texto.
Essa limitação faz com que documentos, comentários em código, arquivos Markdown e até mensagens inseridas em projetos possam influenciar diretamente as decisões tomadas pelo agente de IA.
Essa conclusão reforça pesquisas recentes envolvendo ataques como TrustFall e Agentjacking, que também exploram a incapacidade dos modelos em distinguir conteúdo informativo de comandos ocultos.
Isso significa que simplesmente lançar novas versões dos modelos dificilmente eliminará completamente esse tipo de ameaça. O desafio exige mudanças na arquitetura dos agentes, nos mecanismos de autorização e no isolamento das ações executadas.
Os riscos para o ecossistema de código aberto
O impacto desse tipo de ataque vai muito além de um único desenvolvedor.
Hoje, milhões de projetos hospedados em plataformas públicas dependem de documentação aberta, scripts de instalação e automações compartilhadas pela comunidade.
Caso um repositório comprometido seja utilizado por agentes autônomos, existe a possibilidade de disseminação silenciosa de código malicioso durante processos de auditoria, testes ou integração contínua.
O estudo cita cenários semelhantes aos já observados em incidentes envolvendo projetos populares do ecossistema Open Source, incluindo casos de envenenamento de repositórios e alterações maliciosas em cadeias de fornecimento de software.
Outro fator preocupante envolve os mecanismos de sandbox.
Embora muitas ferramentas executem tarefas em ambientes isolados, diversos agentes ainda necessitam acessar arquivos locais, instalar pacotes, utilizar credenciais e executar comandos diretamente no sistema operacional para cumprir suas funções.
Se esse isolamento for insuficiente, o código executado pelo agente poderá escapar das restrições e atingir o ambiente do desenvolvedor ou da organização.
À medida que empresas incorporam agentes de IA em pipelines de desenvolvimento, esses riscos passam a integrar também a cadeia de segurança corporativa.
Como os desenvolvedores devem se proteger
Apesar da gravidade do cenário, especialistas afirmam que existem práticas capazes de reduzir significativamente os riscos.
A principal recomendação é evitar que agentes de IA operem com privilégios irrestritos, especialmente ao analisar códigos provenientes de terceiros ou de repositórios desconhecidos.
Também é recomendável limitar o acesso dos agentes ao sistema operacional, impedir a execução automática de comandos sensíveis e utilizar ambientes de execução realmente isolados.
Outra medida importante consiste em revisar cuidadosamente as permissões concedidas às ferramentas de IA. Quanto menor o conjunto de privilégios disponíveis, menor será o impacto caso um agente seja manipulado.
Naturalmente, desativar completamente o modo autônomo elimina boa parte da superfície de ataque. Entretanto, essa abordagem reduz drasticamente os ganhos de produtividade oferecidos por ferramentas como Claude Code e OpenAI Codex, criando um dilema entre segurança e eficiência.
Nesse contexto, organizações precisarão encontrar um equilíbrio entre automação e controle, adotando políticas específicas para o uso seguro de agentes inteligentes.
O crescimento acelerado dessas tecnologias mostra que a discussão sobre segurança de agentes de IA está apenas começando. Ataques como Fogo Amigo evidenciam que proteger apenas o código já não é suficiente: será necessário proteger também os próprios sistemas responsáveis por analisá-lo.
Para desenvolvedores, profissionais de DevSecOps e administradores de sistemas, compreender essas novas técnicas será essencial para construir ambientes de desenvolvimento mais resilientes nos próximos anos.