Especialistas da Unidade 42 da Palo Alto Networks descreveram um novo vetor de ataque a sistemas multiagentes — o contrabando de sessão de agente — no qual um agente remoto malicioso injeta instruções ocultas durante uma sessão de longa duração, fazendo com que o agente cliente execute ações indesejadas sem o conhecimento do usuário. A vulnerabilidade não reside em uma falha formal no protocolo A2A, mas sim na forma como o estado da sessão e a confiança entre os agentes permite que comandos maliciosos sejam disfarçados em meio a comunicações legítimas.
A mecânica é simples: o cliente inicia uma solicitação normal ao agente remoto; durante a sessão ativa, esse agente envia mensagens adicionais e ocultas que modificam o contexto interno do cliente; o agente remoto, então, retorna uma resposta externa esperada, enquanto as operações permanecem invisíveis para o usuário. Isso pode levar a situações de contexto, vazamentos de configuração interna e chamadas de função não autorizadas — tudo ocorreu dentro da conversa.
O estudo compara o A2A com o Protocolo de Contexto de Modelo (MCP) e mostra por que o risco é maior no A2A: o MCP normalmente opera sem persistência de sessão e faz chamadas de ferramentas isoladas, enquanto o A2A armazena o histórico de interações e permite que os agentes se adaptem durante uma conversa. Essa combinação de “memória” e autonomia possibilita ataques progressivos e difíceis de rastrear.O que se esconde por trás do lado sombrio da tecnologia?
Para demonstração, os cientistas implementaram dois cenários de prova de conceito usando o Kit de Desenvolvimento de Agentes do Google e o protocolo A2A. O cliente era um assistente financeiro executando o Gemini 2.5 Pro, e o participante remoto era um assistente de pesquisa executando o Gemini 2.5 Flash. No primeiro cenário, o agente remoto, após receber uma solicitação delegada para um relatório de notícias, por meio de uma série de trocas de esclarecimento, persuadiu o agente financeiro a revelar seu histórico de bate-papo, instruções do sistema, uma lista de ferramentas disponíveis e seus padrões de invocação. No ambiente de teste do painel de desenvolvimento, essas mensagens interessantes ficaram visíveis, mas na interface do usuário normal, tais detalhes ficaram ocultos, de modo que o usuário recebeu apenas a resposta final.
No segundo PoC, o atacante usou a mesma técnica para acionar a ferramenta buy_stock do cliente: após delegar a tarefa de coleta de notícias, o agente remoto “incorporou” requisitos de processamento adicionais, fazendo com que o assistente financeiro comprasse automaticamente 10 ações sem solicitar separadas do titular da conta. Os registros de atividade do cliente apresentavam chamadas de função (function_call) e respostas de função (function_response) adicionais entre a solicitação inicial e a resposta final — foram essas etapas ocultas que levaram à transação não autorizada.
As principais características do ataque — estado da sessão, natureza de múltiplas rodadas, adaptabilidade e furtividade — tornam-se não difíceis de detectar e perigosos em ambientes de integração interorganizacional, onde agentes de diferentes domínios se comunicam entre si. A probabilidade de exploração bem-sucedida é baixa em um ambiente seguro; o risco aumenta quando agentes externos de terceiros são envolvidos.
Para se proteger contra isso, os autores propõem uma abordagem em múltiplas camadas. A verificação externa para operações críticas — com intervenção humana — deve ser rompida, onde a execução é suspensa e a confirmação ocorre por meio de um canal separado e não generativo. A verificação criptográfica dos participantes por meio de AgentCards assinados deve ser inventada para confirmar a origem e as capacidades declaradas do interlocutor. A ampliação do contexto envolve a criação de uma “âncora” de tarefa no início da sessão e a validação contínua das instruções recebidas, encerrando automaticamente a conversa caso a intenção original se desvie. As interfaces devem ser enriquecidas com indicadores de atividade visíveis — registros de chamadas, visualização de instruções remotas e rótulos para comandos externos — para aumentar as chances de detecção de abuso por parte do usuário ou do operador.
