Toward Securing AI Agents Like Operating Systems

Este artigo defende que a segurança de agentes de IA baseados em LLM exige a aplicação de princípios de segurança de sistemas operacionais, demonstrando, por meio de uma análise unificada de arquitetura e de um estudo de caso, que, embora alguns riscos sejam inerentes, muitas vulnerabilidades podem ser mitigadas mediante técnicas estabelecidas de SO, como isolamento de recursos e separação de privilégios.

O essencial

Imagine que você contratou um assistente pessoal superinteligente e incrivelmente entusiasta chamado "Agente". Este assistente pode ler seus e-mails, gerenciar seu calendário, reservar voos e até mesmo escrever código para você. É como ter um funcionário mágico que nunca dorme.

Mas eis o problema: você deu a este funcionário as chaves de toda a sua casa, sua conta bancária e seu diário. Se um ladrão astuto enganar o assistente fazendo-o pensar que é você, ou convencê-lo a abrir a porta dos fundos, o ladrão leva tudo.

Este é o problema central que o artigo aborda. Os autores argumentam que estamos construindo esses agentes de IA como se fossem criaturas mágicas totalmente novas, mas deveríamos, na verdade, tratá-los como Sistemas Operacionais (o software que executa seu computador, como Windows ou macOS).

Aqui está a análise de suas descobertas, usando analogias simples:

1. A Grande Ideia: O Agente é o Sistema Operacional

Os autores dizem: "Pare de pensar na IA apenas como um chatbot. Pense nela como o SO da sua vida digital."

• A IA (LLM) é o Usuário: Em um computador, o usuário digita comandos. Em um agente de IA, o Modelo de Linguagem de Grande Porte (o "cérebro") é quem digita os comandos. Mas, assim como um usuário humano pode ser enganado por um e-mail de phishing, uma IA pode ser enganada por um prompt de "jailbreak".
• As Ferramentas são Chamadas de Sistema: Quando você clica em "Imprimir" no seu computador, o SO verifica se você tem permissão. Quando uma IA deseja "enviar um e-mail", isso é uma ferramenta. O artigo argumenta que essas ferramentas devem ser tratadas como chamadas de sistema estritas, não como comandos sem restrições.
• O Ambiente de Execução é o Kernel: A parte do software que realmente executa o código é o "Kernel". Em um computador seguro, o Kernel é o chefe. Ele decide quem pode tocar em quê. Nos agentes de IA atuais, o "Kernel" é frequentemente muito gentil e permite que o "Usuário" (a IA) faça o que quiser, mesmo que seja perigoso.

2. O Problema: A Festa "Casa Aberta"

O artigo analisa agentes de IA populares (como OpenClaw e seus primos) e descobre que são construídos como uma casa aberta onde qualquer pessoa pode entrar e tocar em qualquer coisa.

• Sem Paredes: Em um computador seguro, programas diferentes estão isolados. Se um vírus infectar seu aplicativo de calculadora, ele não deveria conseguir ler seus arquivos bancários. Mas nestes agentes de IA, a "calculadora" (uma ferramenta) e os "arquivos bancários" (memória) estão todos na mesma sala. Se a IA ficar confusa, ela pode misturá-los acidentalmente (ou maliciosamente).
• A Falácia "Confie em Mim": Esses agentes dependem da IA para "lembrar" de ser segura. Eles têm regras como "Não exclua arquivos", mas estão escritas apenas em inglês comum. Se um hacker sussurrar um truque para a IA, ela esquece a regra. É como pedir a um guarda para ficar de vigia, mas dizendo a ele: "Apenas use seu melhor julgamento".
• O Risco de "Terceiros": Esses agentes permitem que você instale "habilidades" (como aplicativos). Imagine se você pudesse baixar um "App de Clima" que secretamente tivesse uma porta dos fundos para sua conta bancária. O artigo descobriu que muitos desses agentes permitem que você instale essas habilidades sem verificar se são seguras.

3. O Experimento: Quebrando os Agentes

Os pesquisadores pegaram quatro agentes de IA populares e tentaram quebrá-los, agindo como um hacker com habilidades modestas. Eles não precisavam ser gênios; apenas precisavam saber como a "casa" foi construída.

O que eles descobriram:

• OpenClaw (O Agente "Vanilla"): Este era o mais popular. Era vulnerável a todos e cada um dos ataques que os pesquisadores tentaram. Era como deixar a porta da frente, a porta dos fundos e as janelas totalmente abertas.
• IronClaw (O Agente "Segurança"): Este tentou ser mais seguro. Ele colocou algumas ferramentas em uma "caixa de areia" (sandbox) (uma caixa de vidro onde elas não podem tocar no resto da casa). Ele se saiu melhor, mas os pesquisadores ainda encontraram maneiras de enganá-lo ou quebrar o vidro.
• Nanobot (O Agente "Mínimo"): Este tinha muito pouco código, esperando que menos código significasse menos bugs. Mas mesmo com uma base de código pequena, ainda faltavam as "paredes" básicas necessárias para manter os dados separados.
• NemoClaw (O Agente "Wrapper"): Este colocou todo o agente dentro de um contêiner seguro (como um contêiner de transporte). Foi o mais difícil de quebrar, mas os pesquisadores ainda encontraram uma maneira de espiar dentro ou enganá-lo.

O Resultado Chocante: Mesmo as versões "seguras" falharam em coisas básicas, como impedir que um usuário leia as anotações privadas de outro usuário, ou impedir que o agente envie mensagens para estranhos.

4. A Solução: Pegando Emprestado do Passado

A principal conclusão do artigo é simples: Não precisamos inventar nova magia para corrigir isso. Precisamos apenas usar as regras de segurança que conhecemos há 50 anos.

Sistemas operacionais já resolveram esses problemas exatamente antes. Os autores sugerem que apliquemos essas regras de época antiga à IA:

• Isolamento: Coloque cada ferramenta em sua própria caixa de vidro (sandbox) para que não possa tocar em outras ferramentas ou em seus arquivos privados, a menos que explicitamente permitido.
• Privilégio Mínimo: Apenas porque o agente pode ler seu e-mail não significa que ele deve. Dê a ele apenas as chaves de que precisa para a tarefa específica em mãos.
• Registro Reforçado: Mantenha um registro de tudo o que o agente faz, mas certifique-se de que o agente não possa excluir ou alterar esses registros (como uma câmera de segurança à prova de adulteração).
• Limites Estritos: Não deixe a IA decidir o que é seguro. O "Kernel" (o sistema) deve fazer cumprir as regras, não o "cérebro" da IA.

Resumo

O artigo argumenta que os agentes de IA são atualmente construídos como fronteiras selvagens e desreguladas. Eles são poderosos, mas perigosos porque misturam dados sensíveis com instruções não confiáveis.

Os autores dizem: "Pare de tentar tornar a IA 'mais inteligente' para ser segura. Em vez disso, construa o sistema ao seu redor como um Sistema Operacional seguro." Se tratarmos a IA como um usuário que precisa ser vigiado e restringido por um guarda de segurança rigoroso (o SO), podemos tornar essas ferramentas poderosas seguras para uso em nossas casas e empresas.

A Conclusão Final: Estamos construindo funcionários digitais com chaves mestras para nossas vidas, mas ainda não construímos os cadeados, as cercas ou os guardas de segurança. É hora de pegar emprestados os projetos dos especialistas em segurança de computador que vêm construindo esses cadeados há décadas.

Resumo técnico

Resumo Técnico: Rumo à Segurança de Agentes de IA como Sistemas Operacionais

Declaração do Problema

Agentes autônomos baseados em Modelos de Linguagem de Grande Escala (LLMs) estão evoluindo de assistentes especializados para sistemas de propósito geral capazes de planejar e executar tarefas complexas com acesso a dados sensíveis do usuário, arquivos locais e serviços externos. Embora sistemas como o OpenClaw ofereçam utilidade significativa por meio do uso de ferramentas e habilidades de terceiros, eles introduzem riscos substanciais de segurança. A pesquisa atual frequentemente se concentra de forma estreita em injeção de prompts, mas a superfície de ataque mais ampla — composta por extensibilidade em tempo de execução, estado persistente e acesso não mediado a funcionalidades privilegiadas — permanece subanalisada. Mecanismos de proteção existentes em implementações populares de agentes são frequentemente insuficientes, falhando em prevenir exfiltração de dados, escalonamento de privilégios ou acesso não autorizado ao sistema mesmo sob capacidades modestas de um atacante. O artigo argumenta que os desafios de segurança enfrentados por agentes de IA são estruturalmente semelhantes aos historicamente resolvidos por sistemas operacionais (SO), no entanto, os designs atuais de agentes frequentemente violam princípios fundamentais de segurança de SO, como isolamento, separação de privilégios e mediação.

Metodologia

Os autores empregam uma metodologia de três vertentes para investigar a segurança de agentes:

1. Analogia Conceitual e Derivação de Arquitetura: O artigo estabelece uma analogia estrutural entre agentes de IA e sistemas operacionais. Mapeia componentes de agentes para conceitos de SO: o LLM atua como um usuário não confiável, ferramentas e habilidades correspondem a chamadas de sistema e programas, o tempo de execução do agente funciona como o kernel e o contexto do agente assemelha-se à memória do processo. Com base nessa analogia, os autores derivam uma arquitetura unificada para agentes no estilo OpenClaw, identificando componentes-chave (núcleo de tempo de execução, núcleo do agente, gateways, estado persistente/efêmero) e limites de confiança.

2. Mapeamento Sistemático de Defesas: Os autores pesquisam mecanismos de segurança de SO estabelecidos (por exemplo, isolamento de processos, sandboxing, privilégio mínimo, filtragem de rede, Prevenção de Execução de Dados) e mapeiam-nos para seus equivalentes agênticos. Analisam quais mecanismos transferem-se diretamente, quais requerem adaptação e quais capacidades de agentes permanecem inseguras por design.

3. Estudo de Caso Empírico: Para validar sua análise, os autores avaliam quatro agentes amplamente utilizados, de código aberto e no estilo OpenClaw, representando diferentes filosofias de design:

   • OpenClaw: Uma variante "padrão" focada na amplitude de recursos.
   • IronClaw: Uma variante de "segurança" priorizando isolamento e sandboxing.
   • Nanobot: Uma variante "minimalista" com uma base de código reduzida.
   • NemoClaw: Uma variante de "wrapper" que executa um agente dentro de um contêiner seguro.

   A avaliação utiliza um ambiente controlado (VMs Debian 13.4) com monitoramento baseado em eBPF para observar chamadas de sistema, acesso a arquivos e tráfego de rede. Os autores definem um modelo de ameaça onde o atacante possui conhecimento total do código-fonte, mas nenhum acesso direto ao hardware ou ao nível do host, tratando o LLM como um componente completamente não confiável suscetível a manipulação. Eles executam uma série de cenários de ataque realistas visando interfaces de hardware, isolamento de processos, sandboxing, filtragem de rede e registro de sistema.

Principais Contribuições

• Perspectiva de Segurança de SO sobre Agentes de IA: O artigo estabelece uma analogia formal entre agentes de IA e sistemas operacionais, fornecendo um quadro para raciocinar sobre a segurança de agentes usando conceitos estabelecidos como isolamento, separação de privilégios e mediação.
• Arquitetura Unificada de Agentes: Deriva uma arquitetura consolidada para agentes no estilo OpenClaw que define explicitamente componentes, limites de confiança e canais de comunicação, facilitando a análise sistemática de segurança.
• Transferência Sistemática de Defesas de SO: Os autores mapeiam mecanismos de defesa de SO para o domínio agêntico, categorizando-os por sua aplicabilidade e identificando lacunas onde os designs atuais de agentes falham em impor princípios básicos de segurança.
• Avaliação Empírica: O estudo fornece uma avaliação empírica abrangente de quatro tempos de execução de agentes populares, demonstrando que os mecanismos de proteção atuais frequentemente falham na prática e que vulnerabilidades podem ser explicadas e mitigadas usando técnicas em nível de SO.

Resultados

O estudo de caso revela que nenhum dos quatro agentes avaliados consegue defender-se contra todos os vetores de ataque testados. As principais descobertas incluem:

• Vulnerabilidades Generalizadas: Mesmo agentes projetados com segurança em mente (por exemplo, IronClaw) são suscetíveis a ataques específicos, como manipulação de configuração ou extração de prompts do sistema, frequentemente devido à implementação incompleta de sandboxing ou separação de privilégios.
• Falha de Isolamento: Uma descoberta crítica é que todos os quatro agentes alimentam dados confiáveis e não confiáveis em um contexto compartilhado de LLM, violando o princípio de isolamento de processos. Isso permite que saídas intermediárias de uma ferramenta influenciem ferramentas subsequentes, possibilitando ataques como injeção de comandos de shell.
• Violações de Separação de Privilégios: O controle de acesso a arquivos é frequentemente imposto no mesmo nível de privilégio que o processamento de entrada, em vez de ser mediado por um monitor de referência com privilégios mais baixos.
• Sandboxing Ineficaz: Embora o sandboxing (por exemplo, WebAssembly no IronClaw, contêineres no NemoClaw) possa bloquear efetivamente certos vetores de ataque, implementações parciais ou mal configuradas deixam lacunas significativas. Por exemplo, o NemoClaw foi vulnerável à extração de prompts do sistema apesar de seu design em contêineres.
• Fraquezas Universais: Duas classes de fraqueza foram observadas em todos os agentes: exfiltração de dados entre usuários (falta de isolamento de processos em nível de usuário) e envio não autorizado de mensagens (falta de filtragem de saída estrita).
• Independência do LLM: O estudo confirma que essas vulnerabilidades derivam da arquitetura do agente e do design do tempo de execução, e não de capacidades específicas de raciocínio do LLM, pois os ataques tiveram sucesso em diferentes modelos (Qwen, Gemini, GPT).

Significado e Alegações

O artigo alega que a segurança de agentes de IA é uma tarefa assustadora devido à sua vasta e heterogênea superfície de ataque, mas que progresso significativo está ao alcance ao aproveitar décadas de pesquisa em segurança de sistemas operacionais. Os autores argumentam que:

1. Análise Retrospectiva é Valiosa: Muitos desafios de segurança em agentes de IA não são inteiramente novos, mas sim manifestações de problemas clássicos de SO. Revisitar abordagens de SO estabelecidas fornece um quadro principiado para a segurança de sistemas agênticos.
2. Defesa em Profundidade é Necessária: Confiar exclusivamente em defesas centradas no LLM (como mitigação de injeção de prompts) é insuficiente. A operação segura requer conhecimento detalhado do sistema, configuração cuidadosa e implementação de defesas em camadas, incluindo isolamento, separação de privilégios e mediação.
3. Falhas de Design são Inerentes aos Sistemas Atuais: Algumas capacidades agênticas permanecem inseguras por design porque violam princípios fundamentais como privilégio mínimo e isolamento de processos. No entanto, muitas vulnerabilidades podem ser mitigadas usando técnicas de SO bem compreendidas.
4. Passos Imediatos Acionáveis: Os autores concluem que simplesmente consolidar os mecanismos de segurança parciais já implantados em diferentes implementações (por exemplo, combinando sandboxing, filtragem de rede e registro) resultaria em melhorias significativas de segurança sem exigir pesquisa nova.

O artigo posiciona-se não como uma solução final, mas como um passo necessário para estruturar a superfície de ataque de agentes de IA e orientar o design futuro para um estado mais seguro fundamentado em princípios de segurança de SO.