Contas maliciosas com uso de IA quase dobram e elevam risco cibernético, aponta Anthropic
A Anthropic divulgou em 3 de março uma ampla análise sobre o uso de modelos de inteligência artificial por cibercriminosos, mapeando 832 contas ligadas a atividades maliciosas ao longo de um período de um ano, de março de 2025 a março de 2026. O relatório, assinado pelos pesquisadores Kyla Guru, Alex Moix e Jacob Klein, mostra uma mudança preocupante: a proporção de atores classificados como de risco médio ou alto saltou de 33% para 56% entre a primeira e a segunda metade do período analisado. Parte desses resultados foi incorporada ao tradicional relatório Data Breach Investigation Report (DBIR) de 2026, produzido em parceria com a Verizon.
Esse aumento indica que criminosos estão rapidamente aprendendo a explorar a IA não apenas para automatizar pequenas partes de ataques, mas para estruturar operações completas, do planejamento à execução. Em vez de usarem modelos de IA apenas para tarefas pontuais – como traduzir textos de phishing ou escrever scripts simples – muitos passaram a integrar a tecnologia ao coração de suas campanhas, elevando o nível de sofisticação e a capacidade de causar danos.
IA aplicada a toda a cadeia de ataque
Segundo a Anthropic, as 832 contas analisadas recorreram a modelos de IA em 14 táticas e 482 sub-técnicas da estrutura MITRE ATT&CK, um dos principais referenciais globais para descrever comportamentos de ataque. Na prática, isso significa que a IA já é utilizada em praticamente todas as etapas da cadeia de intrusão: reconhecimento, desenvolvimento de ferramentas, entrada inicial, elevação de privilégios, persistência, exfiltração de dados e mais.
A tática mais frequente foi o desenvolvimento de capacidades (T1587), registrada em 574 das 832 contas – ou 69%. Dentro dessa categoria, destacou-se a criação de malware (T1587.001), identificada em 560 contas. Ou seja, em grande parte dos casos analisados, a IA foi empregada para projetar, adaptar ou aprimorar códigos maliciosos. Isso inclui desde a geração de variantes de ransomware e trojans até scripts personalizados para explorar vulnerabilidades recém-divulgadas.
Logo atrás apareceram:
– Ofuscação de arquivos (T1027): utilizada por 64,7% dos atores, uma técnica essencial para evitar a detecção por antivírus e soluções de EDR, escondendo ou embaralhando o código malicioso.
– Comprometimento de defesas (T1562): aplicada por 54,9% dos atacantes, focando na desativação, contorno ou engano de sistemas de segurança, como firewalls, logs e mecanismos de monitoramento.
Esses números reforçam que a IA não é mais apenas uma ajuda “intelectual” aos criminosos. Ela passou a funcionar como uma espécie de engenheiro assistente, capaz de sugerir ajustes, refinar código, propor caminhos alternativos quando uma técnica é bloqueada e acelerar ciclos de teste e erro.
Movimento lateral: poucos atores, risco altíssimo
Um dos pontos mais alarmantes da análise da Anthropic diz respeito ao uso de IA para movimento lateral dentro de redes corporativas – a etapa em que o invasor, já tendo obtido alguma forma de acesso, se desloca entre máquinas e sistemas para ampliar o controle e chegar a ativos críticos.
Apenas 54 dos 832 atores (6,5%) utilizaram modelos de IA para apoiar o movimento lateral. Porém, justamente esse grupo foi classificado como o de maior risco. De acordo com a Anthropic, os atores que recorreram à IA nessa fase obtiveram uma pontuação média de risco 10,5 pontos superior à dos demais.
Entre as técnicas mais associadas a esses atores de alto risco estavam:
– Serviços remotos (T1021): exploração de protocolos como RDP, SSH ou SMB para se movimentar entre servidores e estações de trabalho;
– Dump de credenciais (T1003): extração de senhas e hashes de memória, bancos de dados de autenticação e sistemas de gerenciamento de contas, abrindo caminho para novas quebras de segurança;
– Web shell (T1505.003): implantação de backdoors em servidores web comprometidos, permitindo controle remoto e persistente do ambiente.
O uso de IA tende a tornar o movimento lateral mais rápido, preciso e dissimulado. Modelos podem ajudar criminosos a interpretar topologias de rede, sugerir caminhos menos monitorados, combinar explorações com engenharia social interna e até gerar comandos de forma adaptativa, reduzindo a chance de disparar alertas.
Agentes autônomos de IA em operações reais
A Anthropic destacou ainda um caso emblemático de espionagem cibernética, identificado como GTG-1002, que alcançou a pontuação máxima de risco (100). Essa operação comprometeu alvos governamentais e infraestruturas críticas em diversos países, demonstrando o potencial destrutivo quando agentes de IA são empregados de maneira autônoma em campanhas avançadas.
O diferencial desse ataque, segundo a empresa, foi a utilização de um agente de IA rodando em um ambiente Kali Linux, sistema amplamente usado para testes de penetração. Esse agente foi integrado a ferramentas de offensive security, incluindo servidores MCP, e era capaz de executar comandos de forma autônoma, com mínima intervenção humana.
Na prática, isso significa que a IA não apenas auxiliava o operador humano, mas tomava decisões por conta própria: escolher quais ferramentas disparar, avaliar respostas do ambiente, ajustar a sequência de comandos e buscar novos caminhos de intrusão quase em tempo real. Esse tipo de orquestração autônoma aproxima o cenário de uma espécie de “malware inteligente”, que pode reagir dinamicamente às defesas, tornando o controle e a contenção muito mais desafiadores.
Limites do framework MITRE ATT&CK diante da IA
Outro ponto crítico apontado pela Anthropic é que o framework MITRE ATT&CK, embora extremamente abrangente, ainda não contempla de forma adequada comportamentos emergentes ligados a agentes autônomos de IA. Entre as lacunas destacadas estão:
– Orquestração autônoma da cadeia de ataque, em que a IA coordena diversas etapas – do reconhecimento à exfiltração – sem necessidade de instruções detalhadas a cada passo;
– Decisões de pivô em tempo real, nas quais o agente ajusta a rota do ataque com base em respostas do ambiente, bloqueios detectados e oportunidades imprevistas.
Diante disso, a Anthropic afirmou estar em diálogo com o MITRE para apoiar a evolução do framework, de modo a incorporar melhor esse novo tipo de comportamento. Ao mesmo tempo, a empresa diz já ter implementado salvaguardas em tempo real em seus modelos mais avançados, incluindo o roteamento de atividades de duplo uso para o Cyber Verification Program, uma camada adicional de verificação para tentativas de uso potencialmente nocivo.
O que esses dados significam para empresas e governos
O salto de 33% para 56% na proporção de atores de risco médio e alto em apenas um ano ilustra uma curva de aprendizado acelerada dos atacantes. À medida que ferramentas de IA generativa se tornam mais acessíveis e poderosas, barreiras técnicas que antes limitavam o cibercrime vão caindo. Hackers experientes potencializam sua capacidade, enquanto criminosos com menos conhecimento passam a ter “atalhos” para operações sofisticadas.
Para organizações públicas e privadas, isso se traduz em:
– Aumento da frequência e da complexidade de ataques;
– Ciclos de desenvolvimento de malware mais curtos e maleáveis;
– Maior personalização de campanhas de phishing e engenharia social;
– Dificuldade crescente em detectar comportamentos anômalos que já nascem projetados para enganar sistemas de defesa baseados em padrões.
Empresas que ainda tratam a IA apenas como uma ferramenta de inovação de negócios, sem considerar o impacto no risco cibernético, tendem a ficar para trás. A governança de IA precisa ser integrada à governança de segurança da informação, incluindo políticas de uso, monitoramento de acessos, revisão de prompts sensíveis e treinamento de colaboradores.
Como os atacantes estão explorando o potencial da IA
Os dados da Anthropic revelam que criminosos usam modelos de IA de forma combinada em várias frentes, por exemplo:
– Automatização de recon: geração de scripts para varredura de portas, enumeração de serviços, mapeamento de tecnologias usadas por uma organização-alvo;
– Exploit design e adaptação: criação de provas de conceito, ajustes de exploits existentes para novas versões de sistemas ou para fugir de assinaturas conhecidas;
– Ofuscação contínua: mudança constante de padrões de codificação, strings, comentários e estruturas para burlar detecções baseadas em assinatura;
– Engenharia social avançada: produção de e-mails, mensagens e sites falsos adaptados ao contexto cultural, idioma e perfil da vítima, com correção gramatical e tom convincente;
– Simulação de respostas defensivas: uso da IA para “ensaiar” como determinados sistemas de segurança podem reagir a um ataque e, a partir disso, ajustar a estratégia ofensiva.
Esse uso combinado cria uma espécie de “cadeia de valor” do cibercrime impulsionada por IA, em que cada etapa é otimizada ou acelerada por modelos de linguagem ou outros tipos de modelos de IA.
Resposta defensiva: IA contra IA
O cenário descrito pela Anthropic também reforça uma tendência inevitável: defensores precisarão usar IA em escala para enfrentar ataques potencializados por IA. Algumas linhas de ação que ganham relevância:
– Detecção comportamental avançada: modelos treinados para observar sequências de eventos e identificar encadeamentos suspeitos, e não apenas assinaturas específicas;
– Automação de resposta: orquestração de playbooks automáticos para conter incidentes em segundos, reduzindo o tempo de permanência do atacante;
– Análise de código assistida por IA: revisão mais rápida de binários, scripts e artefatos maliciosos, acelerando a criação de contramedidas;
– Filtragem e controle de uso de IA interno: mecanismos para impedir que colaboradores, mesmo sem intenção maliciosa, alimentem modelos com dados sensíveis ou peçam ajuda para tarefas que possam ser exploradas por terceiros.
Ao mesmo tempo, cresce a necessidade de transparência e explicabilidade dos modelos utilizados na defesa. Organizações precisam entender como a IA toma decisões, quais dados utiliza e como evitar viéses que possam gerar falsos positivos ou deixar brechas não detectadas.
Mitigação de riscos de “duplo uso”
Um ponto central do relatório da Anthropic é a preocupação com o chamado “duplo uso” – situações em que a mesma capacidade de IA pode ter finalidade legítima (como testes de segurança) ou maliciosa (como invasões reais). A empresa afirma ter implementado salvaguardas em tempo real para reduzir esse risco, redirecionando certos tipos de solicitações para camadas adicionais de verificação, especialmente em modelos mais poderosos.
Para organizações usuárias de IA, mitigar esse risco passa por:
– Estabelecer políticas claras sobre quais tipos de tarefas podem ou não ser delegadas a modelos de IA;
– Monitorar logs de uso de ferramentas de IA corporativas, buscando padrões suspeitos;
– Integrar equipes de segurança da informação, compliance e times de dados/IA para revisão periódica de riscos;
– Treinar desenvolvedores e analistas para reconhecer fronteiras éticas e legais no uso da IA em segurança ofensiva e defensiva.
O futuro do MITRE ATT&CK em um mundo de agentes autônomos
A cooperação entre Anthropic e MITRE indica que o ecossistema de segurança começa a se preparar para uma nova geração de ameaças, em que agentes autônomos de IA terão papel cada vez mais ativo. É provável que, nos próximos anos, surjam novas categorias e sub-técnicas no ATT&CK dedicadas a:
– Comportamentos de orquestração autônoma;
– Interação adaptativa com ambientes de nuvem e infraestrutura como código;
– Uso de IA para burlar especificamente sistemas de detecção baseados em machine learning;
– Cadeias de ataque híbridas humanos + agentes de IA, com divisão sofisticada de tarefas.
Para profissionais de segurança, acompanhar essa evolução será essencial para atualizar modelos de ameaça, ajustar controles de prevenção e resposta, além de revisar continuamente o nível de maturidade frente a atacantes que operam com IA em alta escala.
Conclusão: o risco não é a IA em si, mas quem a controla
Os dados da Anthropic mostram que o volume de contas maliciosas que fazem uso estruturado de IA quase dobrou em um ano, e que o perfil médio desses atores ficou significativamente mais perigoso. A tecnologia, por si só, não é o inimigo – mas nas mãos erradas, amplifica capacidades, encurta caminhos e torna o cibercrime mais acessível e destrutivo.
Empresas, governos e usuários avançados de IA precisam reconhecer que segurança cibernética e governança de IA já são temas indissociáveis. Ignorar essa convergência significa enfrentar adversários que evoluem em ritmo acelerado, enquanto defesas permanecem ancoradas em um cenário que já não existe mais.