São Paulo — InkDesign News —A SquareX divulgou uma pesquisa crítica em 9 de outubro de 2025, revelando vulnerabilidades em navegadores de IA que podem permitir que atacantes exfiltratem dados sensíveis, distribuam malware e acessem aplicativos SaaS não autorizados.
Incidente e vulnerabilidade
A pesquisa da SquareX expõe falhas significativas nos navegadores de IA, como o Comet, onde os agentes de IA, despreparados para questões de segurança, podem ser manipulados por atacantes. Em um exemplo notável, o Comet foi vítima de um ataque OAuth, dando aos criminosos acesso total a e-mails e Google Drive da vítima, permitindo a exfiltração de arquivos sensíveis. Outras falhas incluem o envio de links maliciosos por meio de convites de calendário e o download de malware conhecido.
Impacto e resposta
Os impactos incluem a exfiltração de dados corporativos críticos, comprometendo tanto informações pessoais quanto profissionalmente sensíveis. A dificuldade em distinguir entre ações realizadas pelo usuário e pelo Comet exacerba os riscos, já que ambas as origens de requisições aparecem como tráfego de navegador normal. Medidas de contenção foram limitadas, devido à falta de soluções que possam identificar estas atividades discrepantes.
“Assim como qualquer agente de IA, os navegadores de IA são treinados para concluir tarefas, e não para estar cientes da segurança. Isso torna trivial para atacantes enganar navegadores como o Comet, fazendo-os realizar tarefas maliciosas,”
— Vivek Ramachandran, Fundador, SquareX
Mitigações recomendadas
Os especialistas sugerem a adoção de soluções nativas de navegador que possam diferenciar entre identidades de agentes e usuários. É essencial que essas ferramentas implementem ‘guardrails’ que considerem a identidade e a proteção de dados dos agentes, evitando acessos não autorizados. Organizações devem evitar confiar exclusivamente em EDRs e SASE/SSE, pois estas abordagens oferecem visibilidade limitada.
“Os navegadores sempre foram nosso portal universal para a internet. Os navegadores de IA são o próximo passo lógico, onde o navegador atua autonomamente em nosso nome. O custo? Aonde antes estávamos totalmente no controle, os navegadores de IA nos tornarão passageiros,”
— Stephen Bennett, CISO do Grupo, Domino’s Pizza Enterprises Ltd.
Com a crescente integração de IA agentiva em navegadores, é provável que agentes de IA dominem rapidamente as atividades de navegação. O alerta da SquareX enfatiza a necessidade urgente de uma colaboração entre empresas, desenvolvedores de navegadores e especialistas em cibersegurança, a fim de criar estruturas de segurança robustas para impedir a exploração dessas vulnerabilidades.
Fonte: (Hack Read – Segurança Cibernética)
