Solicitações maliciosas em sequência contornam a segurança em 9 agentes de codificação

Nove agentes de codificação em produção da Anthropic, OpenAI, Google, Moonshot, Zhipu e Minimax sucumbiram a ataques composicionais com taxa de sucesso end-to-end de 53–86%. Pesquisadores orquestraram objetivos maliciosos em tíquetes de engenharia ordinários, que filtros de segurança por-prompt quase nulos falharam em detectar. O achado, publicado 5 de maio, apresenta MOSAIC-Bench (Malicious Objectives Sequenced As Innocuous Compliance).

Jonathan Steinberg e Oren Gal descrevem uma avaliação estruturada de ataques composicionais contra agentes de codificação. MOSAIC-Bench contém 199 cadeias de ataque em três estágios abrangendo 10 substratos de aplicação web, 31 classes de vulnerabilidade CWE e 5 linguagens de programação. Cada cadeia divide um objetivo malicioso final em tíquetes individualmente aparentemente inócuos. O agente nunca vê uma solicitação abertamente prejudicial, apenas pedidos rotineiros de engenharia que se combinam em um exploit implantável.

A vulnerabilidade expõe uma lacuna estrutural no alinhamento de segurança: modelos avaliam cada prompt isoladamente. Conformidade sequencial com instruções aparentemente benígnas produz artefatos cumulativos perigosos. Em experimentos diretos com prompt comparados contra quatro agentes Claude e Codex de fronteira, taxas de saída vulnerável caíram para 0–20,4%. Claude predominantemente recusou; Codex predominantemente endureceu a saída. Mas orquestração de tíquetes silenciou ambos os modos de defesa. Apenas duas recusas totais ocorreram em todos os testes orquestrados nos nove agentes.

Revisão de código downstream oferece pouca proteção adicional. Agentes revisores de código aprovaram 25,8% dos diffs cumulativos confirmados como vulneráveis em rotineiros pull requests. Os pesquisadores testaram se fragmentação de contexto explicava a lacuna: contexto de implementação completo fechou apenas 50% da diferença orquestrada-versus-direta. A superfície de ataque sobrevive janelas de contexto mais ricas.

Para equipes corporativas executando pipelines de agentes multi-turn — fluxos Jira-para-código, geração autônoma de PR ou execução de sprint assistida por IA — o modelo de ameaça mudou. Um adversário que pode injetar intenção maliciosa em múltiplos tíquetes aparentemente inócuos (através de injeção de prompt, manipulação de cadeia de suprimento de rastreadores de problemas ou acesso interno) pode contornar tanto o alinhamento do agente quanto o revisor downstream. A taxa de sucesso de ataque de 53–86% reflete sistemas em produção, não modelos de brinquedo.

O paper identifica uma mitigação implantável: reformular o revisor de código como um pentester adversarial em vez de um aprovador convencional. Sob esse fracionamento, taxas de evasão para o subconjunto revisor avaliado variaram de 3,0% a 17,6%. Um modelo Gemma-4-E4B-it de peso aberto operando como pentester detectou 88,4% dos ataques com taxa de falso positivo de 4,6%, validado contra 608 pull requests reais do GitHub. Agentes revisores menores e construídos especificamente podem superar modelos gerais de fronteira nesta tarefa.

Perguntas remanescentes incluem se cadeias de ataque generalizam para substratos não-web, como taxa de sucesso de ataque muda com cadeias de decomposição mais longas além de três estágios, e se memória de rastreamento de intenção anexada a sessões de agente pode interromper o padrão composicional. O benchmark e oráculos de exploit são posicionados como infraestrutura de avaliação para testes de regressão enquanto plataformas de agentes evoluem.

Para CTOs implantando agentes de codificação autônomos: revisão de segurança por-prompt não é um controle suficiente. O revisor enquadrado como pentester é de baixo custo para implementar. O resultado Gemma-4 sugere que pode rodar em escala de forma barata. Essa é a alavanca operacional de curto prazo enquanto o campo trabalha rumo ao alinhamento composition-aware.