Pesquisadores da Universidade da Califórnia identificaram uma nova classe de ataque envolvendo Inteligência Artificial que pode resultar no roubo de criptomoedas. O estudo indica que roteadores de API de modelos de linguagem (LLMs), operados por terceiros, conseguem interceptar comunicações, injetar código malicioso e potencialmente acessar carteiras digitais. Em um dos testes, os autores relatam a execução de uma transferência de ETH a partir de uma carteira controlada no experimento.

As conclusões foram publicadas em abril de 2026 em artigo no arXiv. Como resultado, um risco antes considerado teórico passa a ser tratado como um vetor plausível e mensurável. Ainda assim, por se tratar de preprint, os dados não passaram por revisão por pares.

Camada intermediária da IA amplia superfície de ataque

O ponto central da descoberta está na camada de roteamento entre agentes de IA e modelos de linguagem. Diferentemente de falhas tradicionais em contratos inteligentes ou no armazenamento de chaves privadas, o risco surge em uma infraestrutura intermediária. Nesse sentido, essa camada ganha relevância à medida que agentes autônomos se conectam a carteiras, protocolos DeFi e sistemas de negociação automatizada.

Na prática, um roteador de API atua como middleware. Ele recebe solicitações, encaminha a provedores de LLM e retorna respostas. Contudo, essa posição concede visibilidade sobre prompts, chamadas de ferramentas e resultados. Assim, um roteador comprometido pode inspecionar ou manipular interações, sobretudo quando envolvem operações financeiras.

Segundo os pesquisadores, o ataque permite três ações principais. Em primeiro lugar, a injeção de código malicioso no fluxo do agente. Além disso, a coleta de credenciais sensíveis, como chaves privadas e APIs. Por fim, há uso de evasão adaptativa, em que o comportamento malicioso surge apenas após múltiplas interações, o que dificulta a detecção.

Fonte: arXiv

Automação sem supervisão eleva risco

Outro vetor crítico envolve o chamado modo YOLO, presente em alguns frameworks. Nesse modo, o sistema executa ações automaticamente com base nas respostas recebidas, sem confirmação humana. Portanto, um roteador comprometido pode inserir comandos maliciosos e potencialmente autorizar transações indevidas.

Esse cenário, segundo o estudo, deixou de ser apenas hipotético em ambiente controlado. Os autores afirmam que ao menos um roteador conseguiu transferir ETH durante os testes. Dessa forma, o risco se mostra relevante para aplicações financeiras integradas à IA, embora dependa das permissões concedidas ao sistema.

Evidências sugerem risco sistêmico

O estudo analisou 428 roteadores de IA. Desse total, 28 foram adquiridos em marketplaces como Taobao, Xianyu e lojas Shopify, enquanto 400 vieram de fontes públicas. Como resultado, 9 roteadores foram classificados como ativamente maliciosos, sendo 1 pago e 8 gratuitos.

Além disso, 17 roteadores acessaram credenciais AWS preparadas como armadilhas, enquanto outros 2 demonstraram técnicas avançadas de evasão. Em termos proporcionais, mais de 20% da amostra apresentou comportamento suspeito ou malicioso, o que sugere um risco relevante, ainda que não necessariamente generalizável a todo o ecossistema.

Os testes também indicaram falhas na proteção de credenciais. Uma chave da OpenAI, exposta de forma controlada, foi usada para processar cerca de 100 milhões de tokens GPT-5.4 e múltiplas sessões autônomas antes da detecção. Em outro caso, uma credencial com menor proteção gerou 2,1 bilhões de tokens faturáveis em centenas de sessões, além de execuções automatizadas que expuseram dezenas de credenciais.

26 roteadores de LLM estão injetando chamadas maliciosas e roubando credenciais. Um deles drenou US$ 500 mil da carteira de um cliente.
Também conseguimos envenenar roteadores para redirecionar tráfego. Em poucas horas, foi possível assumir cerca de 400 hosts.
Confira o estudo: https://arxiv.org/abs/2604.08407

Resultados ainda pedem validação independente

Especialistas destacaram que os achados apontam vulnerabilidades estruturais na infraestrutura de roteadores de terceiros. No entanto, como o artigo ainda não passou por revisão acadêmica formal, a interpretação dos resultados exige cautela.

Mesmo assim, a metodologia adotada e a variedade de vetores analisados reforçam a relevância do tema. Por outro lado, os próprios autores alertam que a extrapolação dos dados para todo o mercado deve ser feita com prudência.

Em conclusão, o estudo indica que a camada intermediária da IA pode se tornar um ponto crítico de vulnerabilidade. Ao reunir evidências de injeção de código, exposição de credenciais e execução automatizada de ações, a pesquisa reforça a necessidade de maior segurança em infraestruturas que conectam agentes de IA a sistemas financeiros.