Especialistas da Unidade 42, da Palo Alto Networks, detalharam um novo vetor de ataque contra sistemas com múltiplos agentes de inteligência artificial, chamado “contrabando de sessão de agente”. A técnica permite que um agente remoto injete instruções ocultas durante uma conversa prolongada, induzindo o agente cliente a executar ações não autorizadas sem que o usuário perceba.
Como o golpe funciona
O método não explora falhas formais no protocolo A2A (Agent-to-Agent), mas se apoia no histórico de sessão armazenado e na confiança mútua entre os agentes. Na prática, o atacante insere mensagens extras na conversa, altera o contexto interno do agente cliente e depois devolve a resposta pública esperada. Entre os riscos estão substituição de contexto, vazamento de configurações e chamadas de função indevidas.
Os pesquisadores compararam o A2A ao Model Context Protocol (MCP). Segundo o estudo, o MCP não mantém estado de sessão e faz chamadas de ferramentas isoladas, o que reduz o perigo. Já o A2A guarda o histórico e permite adaptação contínua, favorecendo ataques progressivos e difíceis de rastrear.
Provas de conceito
Duas demonstrações foram realizadas com o Google Agent Development Kit e o protocolo A2A:
- Cenário 1 – Vazamento de informações: um agente de pesquisa, rodando o Gemini 2.5 Flash, convenceu um assistente financeiro, baseado no Gemini 2.5 Pro, a expor histórico de chat, instruções do sistema, lista de ferramentas e padrões de invocação. Na interface de desenvolvimento, as mensagens ocultas eram visíveis; para o usuário final, apenas a resposta resumida aparecia.
- Cenário 2 – Transação não autorizada: usando o mesmo mecanismo, o agente remoto acionou a ferramenta
buy_stockdo cliente e comprou automaticamente 10 ações, sem solicitar confirmação do titular da conta. Registros internos mostraram chamadas de função adicionais, invisíveis na apresentação ao usuário.
Riscos e mitigação
O ataque é mais perigoso em integrações entre organizações, onde agentes de diferentes domínios se comunicam. Em ambientes totalmente confiáveis, a probabilidade de sucesso é menor, mas aumenta quando agentes externos participam da troca.
Imagem: Internet
Para reduzir o risco, os autores recomendam:
- Revisão externa de operações críticas, pausando a execução até confirmação humana via canal separado;
- Assinaturas criptográficas em “AgentCards” para verificar origem e capacidades do interlocutor;
- Âncora de tarefa no início da sessão e validação contínua das instruções recebidas, encerrando o diálogo se o objetivo original mudar;
- Interfaces com registros visíveis, exibindo chamadas de função e comandos remotos para facilitar a detecção de abusos.
Os testes da Unidade 42 indicam que, ao explorar a combinação de memória de sessão e autonomia dos agentes, o “contrabando de sessão” pode permanecer oculto até que consequências indesejadas se concretizem.
Com informações de CISO Advisor