Vazamento silencioso, como um bug no LangSmith expôs chaves da OpenAI e dados de usuários
O avanço acelerado das aplicações baseadas em inteligência artificial trouxe uma nova onda de riscos para a segurança digital. Um exemplo recente e preocupante foi a descoberta de uma vulnerabilidade crítica no LangSmith, plataforma usada para observação e avaliação de modelos de linguagem em grande escala (LLMs). Embora a falha já tenha sido corrigida, o incidente escancara como agentes maliciosos podem se infiltrar em ecossistemas confiáveis e coletar dados sigilosos com discrição.
O que é LangSmith e por que é relevante?
LangSmith é uma ferramenta amplamente utilizada por desenvolvedores que trabalham com LangChain e outros frameworks LLM. A plataforma oferece meios para testar, monitorar e avaliar o comportamento de agentes de IA, inclusive por meio de um repositório público chamado LangChain Hub, onde usuários compartilham prompts, modelos e agentes.
É exatamente nessa funcionalidade colaborativa que a vulnerabilidade ganhou espaço. A falha foi batizada de “AgentSmith” pela empresa de segurança Noma Security, em referência à forma sorrateira com que o ataque ocorre.
A engenharia do ataque
Segundo os pesquisadores Sasi Levi e Gal Moyal, o ataque teve início com a publicação de um agente de IA aparentemente inofensivo no LangChain Hub. Esse agente, no entanto, foi projetado com um servidor proxy malicioso previamente configurado. Esse proxy, oculto para o usuário final, é ativado no momento em que alguém utiliza o botão “Try It” (Experimente) para testar o agente diretamente na plataforma.
A partir desse ponto, todo o tráfego gerado pela interação do usuário com o agente — incluindo chaves de API, prompts personalizados, documentos anexados, imagens e até dados de voz — passa a ser capturado pelo servidor controlado pelo invasor.
O mais alarmante é que esse tipo de interceptação ocorre de maneira totalmente invisível. Nenhum alerta é disparado, e o usuário segue interagindo com o sistema sem perceber que informações sensíveis estão sendo desviadas em tempo real.
Consequências potenciais
Uma das maiores preocupações associadas a esse ataque é o roubo de chaves de API da OpenAI. Com acesso a essas credenciais, um invasor pode se infiltrar em ambientes privados da vítima, acessar ou clonar modelos personalizados, exfiltrar dados de uso, e até consumir os recursos da conta — gerando custos financeiros elevados e interrupções de serviço.
Mais grave ainda seria o caso de a vítima clonar o agente malicioso para dentro de seu próprio ambiente empresarial. Nessa situação, o proxy malicioso se perpetua internamente, e o vazamento de dados pode ocorrer continuamente, sem levantar suspeitas, afetando diretamente informações proprietárias e ativos estratégicos.
Medidas corretivas e resposta
Após a notificação responsável feita em 29 de outubro de 2024, a equipe do LangChain agiu rapidamente. Em 6 de novembro, uma atualização de backend foi aplicada, eliminando a vulnerabilidade. Como medida adicional, agora a plataforma exibe um alerta visível sempre que um usuário tenta clonar um agente que contenha configurações de proxy personalizadas — um importante reforço de segurança.
Apesar da correção, os pesquisadores alertam que os riscos associados ao uso indevido de APIs de IA vão além dos impactos financeiros. A exposição de dados internos, modelos proprietários e segredos comerciais pode acarretar sérias implicações legais e comprometer a reputação de organizações inteiras.
Paralelo: a evolução do WormGPT e seus novos clones
No rastro da divulgação da falha no LangSmith, outro tema emergente chamou a atenção da comunidade de segurança: a proliferação de variantes do WormGPT. Essa ferramenta, inicialmente lançada em 2023, ganhou notoriedade por permitir o uso de IA generativa para fins ilícitos, como a criação de phishing altamente direcionado e a geração de malwares por demanda.
Embora o projeto original tenha sido encerrado após a exposição de seu criador — um programador português de 23 anos — novas versões continuam circulando em fóruns de cibercrime como o BreachForums. Variantes como xzin0vich-WormGPT e keanu-WormGPT surgiram com o objetivo explícito de fornecer respostas sem censura sobre qualquer assunto, inclusive os de natureza antiética ou ilegal.
Segundo o pesquisador Vitaly Simonovich, essas novas versões não são modelos criados do zero, mas sim adaptações de modelos existentes como xAI Grok e Mistral Mixtral, reconfigurados com prompts manipulados e, possivelmente, afinados com dados obtidos de forma ilícita.
Conclusão
O caso do LangSmith e a ascensão de ferramentas como WormGPT deixam um recado claro: a segurança no ecossistema de IA é uma responsabilidade compartilhada, que começa com práticas de desenvolvimento seguro e se estende à curadoria de conteúdo colaborativo em plataformas abertas.
Desenvolvedores e empresas que utilizam agentes de IA precisam estar atentos às configurações que adotam, questionar a origem dos componentes que integram aos seus sistemas e manter rotinas constantes de revisão de segurança. Afinal, no universo da inteligência artificial, um simples clique em “Try It” pode ser o gatilho para um vazamento massivo de dados — e para consequências que nenhuma empresa deseja enfrentar.
Fonte: https://thehackernews.com/2025/06/langchain-langsmith-bug-let-hackers.html
