Agentes de IA do ServiceNow Assist expostos a ataque coordenado

Uma nova vulnerabilidade na plataforma Now Assist da ServiceNow permite que agentes maliciosos manipulem seus agentes de IA para executar ações não autorizadas, conforme detalhado pela empresa de segurança SaaS AppOmni.

As configurações padrão do software, que permitem que os agentes se descubram e colaborem entre si, podem ser exploradas para lançar ataques de injeção rápida que vão muito além de uma única entrada maliciosa, afirma Aaron Costello, chefe de segurança de SaaS da AppOmni.

A falha permite que um adversário insira uma instrução oculta em campos de dados que um agente lê posteriormente, o que pode, silenciosamente, recrutar a ajuda de outros agentes da mesma equipe do ServiceNow, desencadeando uma reação em cadeia que pode levar ao roubo de dados ou à escalada de privilégios. 

Costello explicou o cenário como "injeção de segundo nível", onde o ataque surge quando a IA processa informações de outra parte do sistema.

“Essa descoberta é alarmante porque não se trata de um bug na IA; é o comportamento esperado, conforme defi por certas opções de configuração padrão”, observou ele no blog da AppOmni, publicado na quarta-feira.

Agentes de IA do ServiceNow Assist expostos a ataque coordenado

De acordo com as investigações de Costello citadas no blog, muitas organizações que implementam o Now Assist podem não estar cientes de que seus agentes são agrupados em equipes e configurados para se descobriremmatica fim de executar uma tarefa aparentemente "inofensiva" que pode se transformar em um ataque coordenado. 

“Quando os agentes conseguem descobrir e recrutar uns aos outros, uma solicitação inofensiva pode silenciosamente se transformar em um ataque, com criminosos roubando dados confidenciais ou obtendo mais acesso aos sistemas internos da empresa”, disse ele.

Um dos principais diferenciais do Now Assist é sua capacidade de coordenar agentes sem a necessidade de um desenvolvedor, integrando-os em um único fluxo de trabalho. Essa arquitetura permite que diversos agentes com diferentes especialidades colaborem caso um deles não consiga concluir uma tarefa sozinho. 

Para que os agentes trabalhem juntos nos bastidores, a plataforma requer três elementos. Primeiro, o modelo de linguagem subjacente deve suportar a descoberta de agentes, uma funcionalidade já integrada tanto no Now LLM padrão quanto no Azure OpenAI LLM .

Em segundo lugar, os agentes devem pertencer à mesma equipe, algo que ocorrematicquando são implantados em ambientes como a experiência padrão do Agente Virtual ou o painel do desenvolvedor do Now Assist. Por fim, os agentes devem ser marcados como "detectáveis", o que também acontecematicquando são publicados em um canal.

Uma vez satisfeitas essas condições, o mecanismo AiA ReAct encaminha informações e delega tarefas entre os agentes, funcionando como um gerente que dirige seus subordinados. Enquanto isso, o orquestrador executa funções de descoberta edentqual agente é o mais adequado para assumir uma tarefa. 

A busca é feita apenas entre os agentes detectáveis dentro da equipe, às vezes até mais do que os administradores percebem. Essa arquitetura interconectada torna-se vulnerável quando qualquer agente é configurado para ler dados que não foram enviados diretamente pelo usuário que iniciou a solicitação. 

“Quando o agente processa os dados posteriormente como parte de uma operação normal, ele pode, sem saber, recrutar outros agentes para executar funções como copiar dados confidenciais, alterar registros ou aumentar os níveis de acesso”, conjecturou Costello.

Um ataque com agente de IA pode escalar privilégios e comprometer contas.

A AppOmni descobriu que os agentes do Now Assist herdam permissões e atuam sob a autoridade do usuário que iniciou o fluxo de trabalho. Um invasor com poucos privilégios pode inserir um aviso malicioso que é ativado durante o fluxo de trabalho de um funcionário com mais privilégios, obtendo acesso sem nunca comprometer a conta dele.

“Como os agentes de IA operam por meio de cadeias de decisões e colaboração, o comando inserido pode atingir níveis mais profundos nos sistemas corporativos do que os administradores esperam”, diz a análise da AppOmni.

A AppOmni afirmou que os atacantes podem redirecionar tarefas que parecem inofensivas para um agente não treinado, mas que se tornam prejudiciais quando outros agentes amplificam a instrução por meio de suas capacidades especializadas. 

A empresa alertou que essa dinâmica cria oportunidades para que adversários extraiam dados sem levantar suspeitas. "Se as organizações não estiverem examinando suas configurações com atenção, provavelmente já estão em risco", reiterou Costello.

A Perplexity desenvolvedora do LLM , afirmou em uma postagem de blog no início de novembro que novos vetores de ataque ampliaram o leque de possíveis explorações.

“Pela primeira vez em décadas, estamos vendo vetores de ataque novos e inéditos que podem vir de qualquer lugar”, escreveu a empresa.

A engenheira de software Marti Jorda Roca, da NeuralTrust, afirmou que o público precisa entender que "existem perigos específicos no uso de IA em termos de segurança".

Cadastre-se na Bybit agora e ganhe um bônus de US$ 50 em minutos