{"id":25008,"date":"2026-05-26T10:15:20","date_gmt":"2026-05-26T13:15:20","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=25008"},"modified":"2026-05-26T10:15:51","modified_gmt":"2026-05-26T13:15:51","slug":"llmjacking-2026-private-ai-server-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/llmjacking-2026-private-ai-server-security\/25008\/","title":{"rendered":"Conhe\u00e7a os invasores de LLM e descubra como se proteger"},"content":{"rendered":"<p>A seguran\u00e7a de IA vai al\u00e9m da preven\u00e7\u00e3o de roubo de dados, da restri\u00e7\u00e3o de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/moltbot-enterprise-risk-management\/24770\/\" target=\"_blank\" rel=\"noopener\">agentes de IA maliciosos<\/a> ou de impedir que assistentes forne\u00e7am conselhos prejudiciais. Uma amea\u00e7a relativamente simples, mas de r\u00e1pida expans\u00e3o, surgiu: tentativas de sequestrar poder computacional e explorar a rede neural de outra pessoa para ganho pessoal. Isso \u00e9 conhecido como LLMjacking. Como se prev\u00ea que os custos de computa\u00e7\u00e3o com IA v\u00e3o <a href=\"https:\/\/oplexa.com\/ai-inference-cost-crisis-2026\/\" target=\"_blank\" rel=\"noopener nofollow\">aumentar drasticamente<\/a>, o n\u00famero de invasores motivados por esses interesses tamb\u00e9m deve crescer. \u00c9 por isso que, ao implementar servidores de IA propriet\u00e1rios e seus ecossistemas de suporte, como <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Gera%C3%A7%C3%A3o_aumentada_por_recupera%C3%A7%C3%A3o\" target=\"_blank\" rel=\"noopener nofollow\">RAG<\/a> ou <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Model_Context_Protocol\" target=\"_blank\" rel=\"noopener nofollow\">MCP<\/a>, \u00e9 essencial adotar medidas de seguran\u00e7a rigorosas desde o in\u00edcio.<\/p>\n<h2>Estat\u00edsticas de um honeypot<\/h2>\n<p>A velocidade e a escala dessas tentativas de sequestro de recursos s\u00e3o melhor ilustradas por um <a href=\"https:\/\/web.archive.org\/web\/20260412230759\/https:\/www.reddit.com\/r\/ollama\/comments\/1sff7i0\/30_days_of_an_llm_honeypot\/?solution=64b4494d52a1506664b4494d52a15066&amp;js_challenge=1&amp;token=bbbe4bf1c9a2b5160829c4be34da586161e5e506c5ef56a1c8acb5184e8d115f\" target=\"_blank\" rel=\"noopener nofollow\">experimento<\/a> documentado em detalhes em abril de 2026. Um pesquisador configurou um Raspberry Pi para se passar por um servidor de IA privado de alto desempenho e o tornou acess\u00edvel na Internet. Quando consultado, este servidor relatou a disponibilidade dos servidores Ollama, LM Studio, AutoGPT, LangServe e text-gen-webui, que s\u00e3o ferramentas bastante usadas como wrappers para modelos de IA hospedados localmente. O servidor tamb\u00e9m parecia apto a aceitar solicita\u00e7\u00f5es de API no formato OpenAI, que se tornou o padr\u00e3o do setor.<\/p>\n<p>Tudo indica que esses servi\u00e7os eram executados por uma inst\u00e2ncia local do Qwen3-Coder 30B Heretic (um dos modelos de c\u00f3digo aberto mais poderosos), cujo alinhamento de seguran\u00e7a foi removido. Para tornar a armadilha mais atraente, o honeypot relatou a presen\u00e7a de v\u00e1rios bancos de dados RAG e de um servidor MCP com recursos tentadores, como <em>get_credentials <\/em>.<\/p>\n<p>Na realidade, o Raspberry Pi estava simplesmente hospedando 500 respostas pr\u00e9-salvas de um modelo Qwen3 real, com um script leve que selecionava a resposta mais relevante para cada consulta recebida. Essa configura\u00e7\u00e3o foi suficiente para passar em uma verifica\u00e7\u00e3o superficial, permitindo ao pesquisador investigar as inten\u00e7\u00f5es dos invasores.<\/p>\n<p>De acordo com o autor, o Shodan, um servi\u00e7o de verifica\u00e7\u00e3o popular da Internet, descobriu o servidor em menos de tr\u00eas horas ap\u00f3s sua ativa\u00e7\u00e3o. Apenas uma hora depois, come\u00e7aram a chegar solicita\u00e7\u00f5es semelhantes a sondagens de capacidades. Durante o m\u00eas seguinte, o servidor recebeu mais de 113 mil solicita\u00e7\u00f5es de milhares de IPs exclusivos, sendo que 23% desse tr\u00e1fego foi direcionado \u00e0 descoberta de recursos de IA e \u00e0 explora\u00e7\u00e3o de LLMs locais e agentes de IA.<\/p>\n<p>As solicita\u00e7\u00f5es para endpoints como <em>\/api\/tags<\/em> e <em>\/v1\/models<\/em> permitem que os invasores identifiquem quais modelos est\u00e3o hospedados em um servidor, enquanto a verifica\u00e7\u00e3o de <em>\/.cursor\/rules<\/em> geralmente precede uma tentativa de explorar um agente de IA. Da mesma forma, a verifica\u00e7\u00e3o de <em>\/.well-known\/mcp.json<\/em> serve como um invent\u00e1rio dos servidores MCP da v\u00edtima. Embora o autor n\u00e3o mencione o n\u00famero total de ataques que foram al\u00e9m de verifica\u00e7\u00f5es simples, houve 175 tentativas ativas de sequestrar o LLM somente na \u00faltima semana do experimento.<\/p>\n<h2>O que os invasores querem?<\/h2>\n<p>Com base nas observa\u00e7\u00f5es do pesquisador, nenhum dos invasores do servidor isca tentou executar c\u00f3digo arbitr\u00e1rio ou obter acesso raiz. (Nota editorial: isso \u00e9 surpreendente e pode ter ocorrido devido a lacunas no registro.) Quase todos os ataques visavam desviar recursos. As seguintes atividades foram registradas durante o experimento:<\/p>\n<ul>\n<li>Uma tentativa bem estruturada de analisar a documenta\u00e7\u00e3o t\u00e9cnica de um microprocessador<\/li>\n<li>Um prompt para escrever um romance er\u00f3tico<\/li>\n<li>Solicita\u00e7\u00f5es para analisar e estruturar dados de texto de m\u00eddia social em rela\u00e7\u00e3o a novas vulnerabilidades<\/li>\n<li>Uma tentativa de chamar modelos da Anthropic usando o servidor comprometido como um proxy de API<\/li>\n<\/ul>\n<p>\u00c9 importante notar que o reconhecimento de recursos de IA \u00e9 feito por meio de ferramentas padronizadas e de r\u00e1pida evolu\u00e7\u00e3o. As solicita\u00e7\u00f5es de um aplicativo chamado LLM-Scanner partiram da infraestrutura de sete provedores de nuvem diferentes em oito pa\u00edses, sugerindo que os invasores j\u00e1 adotaram metodologias consolidadas, al\u00e9m de plataformas especializadas para compartilhamento de t\u00e9cnicas. Na terceira semana do experimento, o scanner foi atualizado com uma verifica\u00e7\u00e3o adicional: agora ele usava perguntas abstratas simples para determinar se estava interagindo com a IA ao vivo ou se estava lidando com um honeypot configurado para fornecer respostas prontas.<\/p>\n<p>Entre os ataques n\u00e3o espec\u00edficos, o experimento registrou v\u00e1rias tentativas de extrair credenciais do arquivo <em>.env<\/em>. Os invasores ca\u00e7avam esse arquivo de forma sistem\u00e1tica em todos os diret\u00f3rios conceb\u00edveis no servidor. Deixar um arquivo <em>.env<\/em> acess\u00edvel ao p\u00fablico \u00e9 um dos erros mais b\u00e1sicos ao implementar projetos no Laravel, no <em>Node.js<\/em> e em outros frameworks. Por\u00e9m, isso continua sendo um descuido comum, especialmente entre iniciantes e vibe coders. Isso acaba por aumentar as chances de que os esfor\u00e7os dos invasores deem resultado.<\/p>\n<h2>Conclus\u00f5es e dicas de defesa<\/h2>\n<p>N\u00e3o \u00e9 novidade que invasores verificam servidores acess\u00edveis ao p\u00fablico e tentam explor\u00e1-los. Mas a ascens\u00e3o dos LLMs oferece aos invasores outra forma de monetizar seus esfor\u00e7os, o que \u00e9 muito lucrativo para eles e devastador para as v\u00edtimas. Para entender a enorme escala a que esses ataques podem chegar, basta analisar a sua contraparte mais pr\u00f3xima: o mercado de cryptojacking, onde os criminosos mineram criptomoedas usando recursos computacionais roubados. Esse mercado <a href=\"https:\/\/www.economist.com\/science-and-technology\/2026\/04\/22\/crypto-miners-are-quietly-colonising-computers\" target=\"_blank\" rel=\"noopener nofollow\">cresceu 20% em 2025<\/a>. \u00c0 medida que as solu\u00e7\u00f5es alimentadas por IA se proliferam e os principais provedores aumentam os custos de assinatura, enquanto os chips locais de IA continuam escassos, devemos esperar que o LLMjacking se torne um fen\u00f4meno em escala industrial.<\/p>\n<p>Principais medidas defensivas para infraestruturas de IA privadas<\/p>\n<ul>\n<li>Para sistemas de IA executados localmente em uma \u00fanica m\u00e1quina, os servidores como LM Studio, Ollama ou similares devem estar configurados para aceitar conex\u00f5es somente na interface local (localhost), e n\u00e3o em todas as interfaces de rede dispon\u00edveis. Isso restringe o acesso do LLM \u00e0 pr\u00f3pria m\u00e1quina host e evita que a IA seja acess\u00edvel pela Internet.<\/li>\n<li>Para servidores que recebem solicita\u00e7\u00f5es remotas, implemente <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-benefit-from-identity-security\/48399\/\" target=\"_blank\" rel=\"noopener nofollow\">autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o robustas<\/a> em vez de depender apenas da valida\u00e7\u00e3o da chave de API, ainda que o servidor opere somente dentro de uma rede corporativa local. As solu\u00e7\u00f5es baseadas em OIDC ou OAuth2 com tokens de curta dura\u00e7\u00e3o s\u00e3o as mais eficazes. Isso n\u00e3o apenas protege contra o LLMjacking, mas tamb\u00e9m evita o abuso das chaves de API e permite um monitoramento mais detalhado da atividade do usu\u00e1rio. Al\u00e9m disso, as chaves devem ser protegidas n\u00e3o apenas contra invasores externos, j\u00e1 que o <a href=\"https:\/\/www.theregister.com\/2026\/04\/27\/cursoropus_agent_snuffs_out_pocketos\/\" target=\"_blank\" rel=\"noopener nofollow\">uso indevido pelos pr\u00f3prios agentes de IA<\/a> \u00e9 um risco crescente. Isso se aplica \u00e0s interfaces LLM, bem como ao MCP, RAG e outros.<\/li>\n<li>Use segmenta\u00e7\u00e3o de rede e listas de permiss\u00e3o de IP para conceder acesso ao servidor de IA somente aos departamentos, funcion\u00e1rios e servi\u00e7os que precisem dele.<\/li>\n<li>Todas as conex\u00f5es entre cliente e servidor devem estar protegidas por uma vers\u00e3o atual do TLS.<\/li>\n<li>Aplique o <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-the-principle-of-least-privilege\/50232\/\" target=\"_blank\" rel=\"noopener nofollow\">princ\u00edpio do privil\u00e9gio m\u00ednimo<\/a> separando o acesso a servi\u00e7os espec\u00edficos. Por exemplo, os componentes MCP e LLM devem ter seus pr\u00f3prios tokens de acesso distintos.<\/li>\n<li>Instale um <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/endpoint-detection-response-edr?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Agente de seguran\u00e7a EDR<\/a> em todas as esta\u00e7\u00f5es de trabalho e servidores, incluindo aqueles que hospedam modelos de IA.<\/li>\n<li>Monitore o consumo dos recursos de IA, estabele\u00e7a cotas de uso conforme a fun\u00e7\u00e3o dos funcion\u00e1rios e configure alertas para picos de atividade incomuns.<\/li>\n<li>Mantenha registros detalhados das respostas do LLM e das solicita\u00e7\u00f5es feitas ao modelo e \u00e0s suas ferramentas de suporte. Integre essas fontes de dados ao <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">seu SIEM<\/a>. Proteja os registros contra adultera\u00e7\u00e3o ou exclus\u00e3o.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"23922\">\n","protected":false},"excerpt":{"rendered":"<p>Agora, as tentativas de sequestro de recursos de IA est\u00e3o acontecendo em escala industrial. Como a infraestrutura de IA est\u00e1 sendo atacada e quais medidas defensivas devem ser implementadas?<\/p>\n","protected":false},"author":2722,"featured_media":25010,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[1382,1342,3376,40,1426],"class_list":{"0":"post-25008","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-aprendizado-de-maquina","9":"tag-ia","10":"tag-llm","11":"tag-seguranca","12":"tag-servidores"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/llmjacking-2026-private-ai-server-security\/25008\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/llmjacking-2026-private-ai-server-security\/30714\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/25767\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/llmjacking-2026-private-ai-server-security\/30564\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/llmjacking-2026-private-ai-server-security\/41840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/55768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/llmjacking-2026-private-ai-server-security\/30650\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/llmjacking-2026-private-ai-server-security\/36224\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/llmjacking-2026-private-ai-server-security\/36116\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ia\/","name":"IA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=25008"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25008\/revisions"}],"predecessor-version":[{"id":25013,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25008\/revisions\/25013"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/25010"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=25008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=25008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=25008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}