Em duas semanas de maio, dois números reabriram um debate de 25 anos sobre quem aplica o cadeado.
Em julho de 2001, o worm Code Red varreu a internet em poucas horas e infectou cerca de 359 mil servidores Microsoft IIS rodando uma versão sem patch. A correção estava disponível havia 26 dias. Quase ninguém tinha aplicado. Em janeiro de 2003, o Slammer fez a mesma rotina com SQL Server: 75 mil máquinas em 10 minutos, segundo dados retrospectivos da CAIDA, centro acadêmico de medição de internet. A indústria saiu desses dois trimestres convencida de uma frase simples. Serviço crítico exposto na internet aberta, sem cadeado, é incidente esperando hora marcada.
Vinte e cinco anos depois, em 5 de maio de 2026, pesquisadores divulgaram no The Hacker News o resultado de um escaneamento que cobriu mais de dois milhões de hosts. Encontraram aproximadamente um milhão de serviços de Inteligência Artificial (IA) rodando sem qualquer autenticação na internet pública. Dois dias depois, em 7 de maio, a Microsoft publicou em seu Security Blog que duas vulnerabilidades novas no Semantic Kernel, framework dela própria para construção de agentes (CVE-2026-25592 e CVE-2026-26030), permitem que uma única instrução em texto livre vire execução remota de código no servidor que hospeda o agente. As duas notícias rimam.
O elefante de um milhão de portas abertas
O escaneamento usou metodologia parecida com a do Internet Census. Mapeou painéis de chatbots auto-hospedados, interfaces de modelos open source rodando em portas conhecidas, dashboards de orquestração de agentes. A maioria veio de stacks populares como Open WebUI, Flowise, LangFlow, Ollama exposto na porta 11434 e n8n com gatilhos de IA habilitados. O padrão se repetia. Instalado em uma máquina virtual por um time de TI ou de produto, deixado com configuração default, conectado a APIs de OpenAI, Anthropic ou Mistral, sem qualquer camada de autenticação na frente.
A consequência prática é dupla. Primeiro, qualquer pessoa que descubra a URL pode usar o serviço de graça, queimando token pago pela empresa que subiu o ambiente. Segundo, e mais grave, esses chatbots costumam estar integrados a bancos de dados internos, ferramentas de busca semântica sobre documentos sensíveis, conectores para Slack, Jira, Salesforce. Acesso à interface significa, na prática, acesso a tudo o que ela conversa.
A reportagem do CySecurity News de 5 de maio de 2026 detalha mais de 90 painéis identificados em órgãos públicos, agências de marketing e instituições financeiras com chatbots, fluxos, prompts internos e conexões externas todos abertos. Não é caso isolado. É padrão.
O paradoxo de transformar texto em comando
O segundo número da semana foi mais técnico. A Microsoft encontrou que um agente do Semantic Kernel rodando configuração padrão, com Search Plugin acoplado a um vetor de memória interna, pode receber uma mensagem aparentemente comum de um usuário e, no processo de buscar uma resposta no índice, executar código no servidor onde o agente vive. Bastou uma frase montada com cuidado para o framework abrir o calc.exe, demonstração canônica de Remote Code Execution (RCE) na máquina hospedeira.
A Microsoft já publicou patch (versão 1.39.4 do pacote Python). Mas o problema descrito é maior do que esse pacote específico. Reportagem do CyberScoop de 1 de maio de 2026 mostrou que o guia conjunto das Five Eyes sobre adoção segura de IA agêntica, divulgado pela CISA na mesma semana, dedica capítulo inteiro à classe de ataque chamada prompt-to-execution. Ela existe sempre que um agente pode chamar ferramentas externas, é o que dá utilidade à figura do agente, e a fronteira entre conteúdo (o texto que ele lê) e instrução (o que ele faz) é fina demais.
A linha do Microsoft Security Blog publicada em 7 de maio diz com clareza. Quando um modelo é conectado a ferramentas, prompt injection deixa de ser problema de moderação e vira primitiva de execução de código.
Errado quem ainda trata isso como tema de pesquisa.
O que a ANPD vai fazer com 48% das empresas brasileiras
O Brasil entra na cena por dois lados. O primeiro é estatístico. Levantamento publicado pelo Radar Digital Brasília em maio de 2026 aponta que aproximadamente 48% das empresas brasileiras já identificaram funcionários inserindo dados corporativos em plataformas de IA, parte deles informações sensíveis. O número casa com o que a Capgemini reportou em 2026 sobre adoção informal de IA em ambiente corporativo no país.
O segundo é regulatório. A Autoridade Nacional de Proteção de Dados (ANPD) aprovou em janeiro o Mapa de Temas Prioritários 2026 a 2027 e colocou IA, ao lado de dados de crianças, publicidade dirigida e compartilhamento no setor público, entre as quatro frentes de fiscalização. A Lei Geral de Proteção de Dados (LGPD) já é clara. Tratamento inadequado por fornecedor ou ferramenta externa não isenta a empresa controladora. Um chatbot interno com integração a banco de cliente, deixado exposto sem autenticação por um time de produto, é uma multa em construção.
A conta histórica, vale lembrar, é proporcionalmente baixa. Entre 2023 e 2025, segundo levantamento do CADE Project, a ANPD aplicou cerca de R$ 98 milhões em multas no acumulado, enquanto o teto previsto na LGPD é de R$ 50 milhões por infração. Subir esse teto em frequência é exatamente o que a agência sinalizou para 2026 e 2027.
Por que isso aterrissa na sua segunda-feira
O CTO médio da empresa brasileira de porte médio chega segunda-feira com três coisas no email. Uma demanda da diretoria de criar um agente que responda perguntas de clientes a partir do CRM, uma fatura de cloud em alta porque alguém deixou um Open WebUI rodando em uma máquina virtual desde fevereiro, e um pedido do jurídico para preencher o registro do sistema de IA pra adequação ANPD. Os três tópicos vêm da mesma raiz e podem ser tratados como um único projeto.
Primeiro, inventário. Mapear toda interface auto-hospedada com modelo de IA acoplado, incluindo painéis de teste, sandbox e prova de conceito que ninguém desligou. Ferramentas como Censys, Shodan ou um simples nmap interno mostram em uma tarde o tamanho real do problema.
Segundo, autenticação obrigatória, sem exceção. Front-ends como Open WebUI, Flowise, n8n, AnythingLLM, Ollama UI e Langflow precisam de proxy reverso com OAuth, IP allowlist ou pelo menos autenticação básica. Nunca expostos ao mundo na porta default. Isso é o equivalente em IA do que a indústria aprendeu nos anos 2000 a respeito de SSH na porta 22 sem credencial forte.
Terceiro, separação clara entre dado e instrução nos agentes que executam ações. Plugins que leem dados internos não devem ter o mesmo nível de permissão dos que escrevem em sistemas críticos. O guia da CISA divulgado em 1 de maio propõe privilégio mínimo por ferramenta, log assinado de cada chamada e revisão humana obrigatória em ações de alto impacto. O equivalente, em IA, do que segurança de rede chama de segmentação.
O cadeado não é opcional.
Em 2001, quando o Code Red varreu a internet, o argumento padrão dos times de TI era simples. Nós não sabíamos. Em 2026, com guia das Five Eyes na mesa, CVEs publicadas pela própria Microsoft, escaneamento de um milhão de serviços expostos circulando na imprensa especializada e a ANPD anunciando IA como prioridade de fiscalização, esse argumento não funciona mais.
A pergunta não é se uma das interfaces de IA da sua empresa está exposta. A pergunta é quem deveria ter aplicado o cadeado, e quanto vai custar descobrir que ninguém aplicou.
Café com Bytes, Onde tecnologia encontra provocação.
Até o próximo Café com Bytes, com ceticismo saudável e café bem passado.
Ricardo Brasil | Especialista em IA Responsável e Diretor de TI na GWS Engenharia — Colunista Café com Bytes | Tecnologia | Inteligência Artificial
Sobre o Autor
Ricardo Brasil é Diretor de TI e Gestão Corporativa da GWS Engenharia, especialista em IA Responsável, transformação digital e governança de TI. É colunista da série Café com Bytes, onde escreve semanalmente sobre tecnologia, inteligência artificial e seus impactos no ambiente corporativo brasileiro.
