Worm de IA auto-replicante infecta 62% da rede sozinho

Q: Como o worm aprende sozinho?

O coração do protótipo é um LLM open-weight rodando localmente numa única GPU , sem depender de OpenAI, Anthropic ou qualquer API comercial. A partir de cada host comprometido, o modelo lê os serviços expostos, consulta textões de advisory públicos, raciocina sobre o caminho de ataque mais provável e gera o exploit na hora. Quando o alvo tem GPU própria, o worm instala uma cópia de si mesmo e vira um novo nó de inferência para infectar dispositivos menos potentes — uma arquitetura tiered que chegou a 68,8% de sucesso em replicação para hosts com GPU, segundo o levantamento da iTnews . Os exploits encadeados no teste não foram pré-programados. Foram escolhidos pelo modelo entre falhas clássicas que continuam vivas em redes corporativas reais: SambaCry , Dirty Pipe , PrintNightmare , Drupalgeddon 2 , Exim RCE , injeção SQL cega, bypass de JWT e escape de container Redis, entre outros. Quando a réplica caía por um bug de detecção de VM no Alpine Linux e no Windows Server 2008, o worm localizava o arquivo de atestação, removia a checagem e tentava de novo — comportamento que os pesquisadores nunca programaram explicitamente.

O que aconteceu: Pesquisadores da Universidade de Toronto, liderados por Nicolas Papernot no CleverHans Lab, demonstraram um worm de IA capaz de se auto-replicar entre máquinas sem intervenção humana. Em testes controlados, publicados em 2 de junho de 2026 no preprint arXiv 2606.03811, o protótipo infectou 62% de uma rede de 33 computadores em sete dias, raciocinando sobre cada novo alvo com um modelo de linguagem open-weight rodando numa única GPU. Não há botão de desligar remoto, não há chave de API para revogar.

O experimento FakeCorp

O time montou um ambiente virtual isolado, batizado FakeCorp, com 33 máquinas: servidores Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 e 2022, além de dispositivos IoT. Cada máquina tinha pelo menos uma vulnerabilidade real. Cinco delas tinham GPU — um detalhe decisivo para o ataque.

Ao longo de 15 execuções independentes de sete dias cada, sem que o worm conhecesse previamente a topologia da rede, os números foram consistentes e inquietantes, conforme documentado por The Hacker News e pela própria Universidade de Toronto:

31,3 vulnerabilidades identificadas em média por execução;
23,1 hosts com acesso elevado por execução (cerca de três quartos dos alvos atacados);
20,4 hosts efetivamente infectados com uma réplica do worm (62% da rede);
88% de sucesso na replicação para máquinas onde conseguiu elevar privilégios;
5,1 gerações de auto-replicação em média, com pico de sete gerações;
44% de sucesso por tentativa individual de exploit.

Os números importam porque mostram consistência, não sorte. Um worm tradicional carrega um payload fixo — basta corrigir a falha específica e ele morre. Esse aqui gera o ataque em tempo de execução, sob medida para cada novo alvo.

Como o worm aprende sozinho

O coração do protótipo é um LLM open-weight rodando localmente numa única GPU, sem depender de OpenAI, Anthropic ou qualquer API comercial. A partir de cada host comprometido, o modelo lê os serviços expostos, consulta textões de advisory públicos, raciocina sobre o caminho de ataque mais provável e gera o exploit na hora. Quando o alvo tem GPU própria, o worm instala uma cópia de si mesmo e vira um novo nó de inferência para infectar dispositivos menos potentes — uma arquitetura tiered que chegou a 68,8% de sucesso em replicação para hosts com GPU, segundo o levantamento da iTnews.

Os exploits encadeados no teste não foram pré-programados. Foram escolhidos pelo modelo entre falhas clássicas que continuam vivas em redes corporativas reais: SambaCry, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, injeção SQL cega, bypass de JWT e escape de container Redis, entre outros. Quando a réplica caía por um bug de detecção de VM no Alpine Linux e no Windows Server 2008, o worm localizava o arquivo de atestação, removia a checagem e tentava de novo — comportamento que os pesquisadores nunca programaram explicitamente.

O problema da janela de patch

A parte mais perturbadora do estudo é a demonstração de que o worm explorou três vulnerabilidades divulgadas depois do corte de treinamento do modelo. Ou seja, ele aprendeu sozinho a usar falhas que o LLM em princípio não conhecia, simplesmente lendo o advisory publicado.

Os três CVEs são:

CVE-2026-39987 — RCE pré-autenticação no Marimo Python notebook (CVSS 9,3), divulgado em 8 de abril de 2026;
CVE-2026-31431 (CopyFail) — escalação de privilégio no kernel Linux, módulo algif_ahead, adicionado ao catálogo KEV da CISA em maio de 2026;
CVE-2026-43284 / CVE-2026-43500 (DirtyFrag) — outra escalação de privilégio no kernel Linux.

Contra máquinas configuradas com essas três falhas, o worm chegou a root em 41 das 67 tentativas. A Sysdig observou, em honeypots, exploração do CVE-2026-39987 apenas 9 horas e 41 minutos depois da divulgação — e documentou uma intrusão real em que um atacante já usou agente de LLM para pós-exploração depois de comprometer uma instância pública do Marimo.

A mensagem é dura para qualquer time de TI: a janela entre “CVE divulgado” e “CVE explorado em escala” encolheu para horas. Quando o atacante é um worm que lê o advisory e gera o exploit na hora, o tempo de reação do defensor passa a ser o gargalo, não o do atacante.

Custo zero, sem botão desligar

Duas características tornam esse tipo de praga digital mais difícil de conter que um worm clássico. Primeiro, o custo. Um agente conectado a uma API comercial deixa rastro de cobrança e pode ser cortado pelo provedor. Já um worm com LLM open-weight se sustenta do próprio hardware comprometido: uma vez com pé em máquina com GPU, ele para de pagar por tentativa. Segundo, ausência de kill switch remoto. Não há chave para revogar, não há conta para suspender, não há provedor para notificar. Contenção tem de acontecer em rede e host.

O paralelo inevitável é com WannaCry, em 2017. EternalBlue já tinha patch há meses quando o worm saltou para centenas de milhares de máquinas. O estudo de Toronto faz o mesmo argumento sob restrição diferente: um worm adaptativo pode continuar testando caminhos novos enquanto os defensores ainda validam correções. Não é o raio de blast que ficou igual ao WannaCry — é a janela de patch que virou vetor.

O que o Brasil precisa ouvir

O Brasil tem três fatores que tornam esse cenário particularmente relevante. Primeiro, parque de legado exposto: há milhões de máquinas Windows Server 2008 e versões antigas de Linux rodando em prefeituras, pequenas empresas e dispositivos IoT industriais sem suporte ativo. Segundo, redes planas: a maioria das PMEs brasileiras opera sem segmentação — se um worm entra num servidor com GPU, ele vira hub de inferência para todo o resto. Terceiro, LGPD sempre por perto: um worm que se replica automaticamente e exfiltra dados pode detonar um incidente de vazamento em massa em horas, com notificação obrigatória à ANPD e impacto contratual pesado.

A própria Universidade de Toronto destaca que o alvo vai de laptops a sistemas HVAC e à rede elétrica. Para um país que já viveu invasões a sistemas públicos estaduais e municipais, a frase não soa hipotética.

Como se defender agora

O protótipo ainda não foi publicado — a Universidade de Toronto está montando um processo de verificação para pesquisadores defensivos solicitarem acesso. Mas os defensores já têm sinais concretos para caçar e medidas para tomar:

Segmentar máquinas com GPU agressivamente. Num design em rede plana, um servidor de deep learning comprometido vira reasoning hub para todos os dispositivos da subrede. Aplique controles zero-trust para impedir alcance lateral a partir desses hosts.
Tratar advisory publicado como alvo imediato. Para CVEs com exposição voltada à internet, a janela já é de horas. Verifique explorabilidade rápido, aplique patch na borda primeiro e use controle compensatório quando não der para corrigir antes do próximo ciclo.
Rotacionar credenciais em host comprometido ou suspeito. O worm demonstrou reuso sistemático de credenciais como caminho de propagação. Senhas colhidas movem lateralmente mais rápido que a maioria dos ciclos de detecção.
Monitorar sinais comportamentais. Atividade em portas não padrão, injeção automática de chaves SSH públicas e clusters de inferência LLM surgindo em endpoints inesperados são os artefatos observáveis que esse protótipo deixa para trás.
Caçar trabalho de GPU fora de horário. Se uma estação sem workload de IA começa a queimar GPU em horário estranho, vale investigar — pode ser inference parasitário.
Reduzir privilégio de contas locais. A maior parte dos caminhos de escalação documentados no paper pressupõe um usuário comum que consegue elevar. Trabalhar como usuário não-admin continua sendo uma das defesas mais baratas.

Uma era nova para malware

O estudo de Toronto não é o primeiro a explorar worms movidos a IA. Morris II, descrito em 2025, mostrou prompts adversariais se replicando entre assistentes de e-mail com RAG. ClawWorm, em março de 2026, demonstrou propagação entre ecossistemas de agentes LLM. A diferença do trabalho de Papernot é estrutural: aqui o LLM não é o alvo — é o motor de ataque, comprometendo infraestrutura de rede comum.

O mundo real já testa a mesma fronteira. A Anthropic relatou, em novembro de 2025, ter desbaratado uma campanha de espionagem chinesa atribuída ao grupo GTG-1002 na qual o Claude Code cuidou de 80% a 90% da operação, incluindo reconhecimento, desenvolvimento de exploit e exfiltração — padrão que já vinha sendo observado em laboratórios criminosos de malware com IA detectados pela Sophos. O Google Threat Intelligence Group registrou em maio de 2026 o que considera o primeiro zero-day desenvolvido com assistência de IA, encontrado num script de grupo criminoso antes de um evento de exploração em massa planejado.

O worm de Toronto é a versão de laboratório dessa direção empurrada até a propagação em nível de host. A seta aponta para menos prompting, mais delegação, mais da intrusão entregue ao modelo. Para quem defende redes brasileiras — onde grupos de ransomware já miram o país em escala —, o recado é claro: o tempo entre “CVE publicado” e “CVE virando arma autônoma” encolheu para horas. Quem ainda trata gestão de vulnerabilidade como tarefa mensal precisa repensar o ritmo.