Luisa Crawford
30 de jan. de 2026 16:35
A Equipa Red Team de IA da NVIDIA publica controlos de segurança obrigatórios para agentes de codificação de IA, abordando ataques de injeção de prompts e vulnerabilidades de fuga de sandbox.
A Equipa Red Team de IA da NVIDIA lançou uma estrutura de segurança abrangente a 30 de janeiro, visando um ponto cego crescente nos fluxos de trabalho dos programadores: Agentes de IA de codificação a executar com permissões completas de utilizador. A orientação surge quando o mercado de sandbox de segurança de rede se aproxima dos 368 mil milhões de dólares e vulnerabilidades recentes como a CVE-2025-4609 relembram a todos que as fugas de sandbox continuam a ser uma ameaça real.
O problema central? Assistentes de codificação de IA como Cursor, Claude e GitHub Copilot executam comandos com qualquer acesso que o programador tenha. Um atacante que envenene um repositório, introduza instruções maliciosas num ficheiro .cursorrules ou comprometa uma resposta de servidor MCP pode sequestrar completamente as ações do agente.
Três Controlos Inegociáveis
A estrutura da NVIDIA identifica três controlos que a Equipa Red Team considera obrigatórios—não sugestões, requisitos:
Bloqueio de saída de rede. Bloquear todas as conexões de saída exceto para destinos explicitamente aprovados. Isto impede a exfiltração de dados e shells reversos. A equipa recomenda imposição de proxy HTTP, resolvedores DNS designados e listas de bloqueio ao nível empresarial que os programadores individuais não podem substituir.
Escritas de ficheiros apenas no espaço de trabalho. Os agentes não devem tocar em nada fora do diretório de projeto ativo. Escrever em ~/.zshrc ou ~/.gitconfig abre portas para mecanismos de persistência e fugas de sandbox. A NVIDIA quer imposição ao nível do SO aqui, não promessas da camada de aplicação.
Proteção de ficheiros de configuração. Este é interessante—mesmo ficheiros dentro do espaço de trabalho precisam de proteção se forem ficheiros de configuração do agente. Hooks, definições de servidor MCP e scripts de competências frequentemente executam fora de contextos de sandbox. A orientação é direta: nenhuma modificação de agente destes ficheiros, ponto final. Apenas edições manuais do utilizador.
Por Que Os Controlos ao Nível da Aplicação Falham
A Equipa Red Team apresenta um argumento convincente para imposição ao nível do SO sobre restrições da camada de aplicação. Uma vez que um agente gera um subprocesso, a aplicação principal perde visibilidade. Os atacantes rotineiramente encadeiam ferramentas aprovadas para alcançar as bloqueadas—chamando um comando restrito através de um invólucro mais seguro.
macOS Seatbelt, Windows AppContainer e Linux Bubblewrap podem impor restrições abaixo da camada de aplicação, capturando caminhos de execução indiretos que as listas de permissões não detetam.
As Recomendações Mais Difíceis
Além do trio obrigatório, a NVIDIA delineia controlos para organizações com menor tolerância ao risco:
Virtualização completa—VMs, contentores Kata ou unikernels—isola o kernel da sandbox do anfitrião. Soluções de kernel partilhado como Docker deixam vulnerabilidades do kernel exploráveis. A sobrecarga é real, mas frequentemente ofuscada pela latência de inferência do LLM de qualquer forma.
Injeção de segredos em vez de herança. Máquinas de programadores estão carregadas com chaves de API, credenciais SSH e tokens AWS. Iniciar sandboxes com conjuntos de credenciais vazios e injetar apenas o que é necessário para a tarefa atual limita o raio de explosão.
A gestão do ciclo de vida impede a acumulação de artefactos. Sandboxes de longa duração coletam dependências, credenciais em cache e código proprietário que os atacantes podem reaproveitar. Ambientes efémeros ou destruição programada abordam isto.
O Que Isto Significa Para Equipas de Desenvolvimento
O momento importa. Os Agentes de IA de codificação passaram de novidade a necessidade para muitas equipas, mas as práticas de segurança não acompanharam o ritmo. A aprovação manual de cada ação cria habituação—os programadores aprovam pedidos automaticamente sem os ler.
A abordagem em níveis da NVIDIA oferece um caminho intermédio: listas de bloqueio empresariais que não podem ser substituídas, leitura-escrita do espaço de trabalho sem fricção, listas de permissões específicas para acesso externo legítimo e negação por defeito com aprovação caso a caso para todo o resto.
A estrutura explicitamente evita abordar a precisão de saída ou manipulação adversária de sugestões de IA—essas permanecem responsabilidades do programador. Mas para o risco de execução que vem de dar aos Agentes de IA acesso real ao sistema? Esta é a orientação pública mais detalhada disponível da equipa de segurança de um grande fornecedor.
Fonte da imagem: Shutterstock
Fonte: https://blockchain.news/news/nvidia-ai-agent-security-framework-sandbox-controls
