Pesquisadores da Aplicativo Omni alertam que as configurações padrão da plataforma Now Assist (ServiceNow) permitem ataques de injeção imediata aproveitando descoberta e colaboração entre agentes de IA.
Pelo mecanismo de “segunda ordem”, um atacante pode induzir um agente benigno a interpretar comandos ocultos em conteúdos acessados. Esse agente, então, recruta outro agente privilegiado para copiar dados sensíveis, modificar registros ou escalar privilégios, tudo a partir de uma interação aparentemente inofensiva, driblando proteções nativas de injeção imediata.
Como o ataque funciona
A arquitetura da Now Assist facilita que agentes descubram e convoquem outros agentes do mesmo horário por padrão.
Quando um agente lê campos externos (não inseridos pelo invocador), as injeções imediatas podem ser “plantadas” para executar tarefas maliciosas via outros agentes — e as ações ocorridas “nos bastidores”, sem alerta ao usuário.
Os agentes geralmente operam com a prioridade do usuário que iniciou a interação, ampliando o impacto caso sejam acionados por pronta injeção.
Pontos críticos de risco
- Descoberta automática de agentes e vezes por padrão.
- Agentes marcados como “descobertos” ao serem publicados.
- Configuração LLM padrão com suporte à descoberta (Azure OpenAI ou Now LLM).
- Ferramentas e canais podem ser configurados sem segmentação adequada.
Recomendações para proteção
- Configure o modo supervisionado para agentes privilegiados.
- Desabilitar a opção de substituição independente (“sn_aia.enable_usecase_tool_execution_mode_override”).
- Segmentar funções de agentes por equipes e monitorar operações suspeitas.
- Auditar regularmente as permissões e fluxos de informação entre agentes de IA.
O risco não é resultado de um bug, mas sim do comportamento padrão das configurações. As organizações devem revisar suas configurações para reduzir a exposição a ataques de injeção imediata entre agentes.
