Pesquisadores identificaram uma técnica que engana agentes de codificação com IA para instalar silenciosamente servidores maliciosos, capazes de roubar segredos e comprometer pipelines de integração contínua. Denominado SymJack pela consultoria Adversa AI, o ataque explora a confiança inerente ao uso dessas ferramentas no desenvolvimento de software.
O vetor exige três elementos: controle do atacante sobre o repositório do agente de codificação, um servidor MCP malicioso pronto e o uso de uma ferramenta de IA por um desenvolvedor. A técnica sequestra um link simbólico dentro do processo de desenvolvimento, renomeia-o para algo aparentemente inócuo que redireciona para o servidor malicioso e incorpora as instruções do atacante ao código finalizado, segundo o relatório.
A cadeia de ataque começa com o controle do atacante sobre o repositório do agente e o arquivo de instruções do projeto contido nele. Esse arquivo é tornado malicioso, mas é usado e confiado pelo agente. O comando “cp” pode ser usado para inserir automaticamente a carga do atacante, escondida dentro do link disfarçado, nas configurações do próprio agente. Esse registro ativa o servidor MCP malicioso, cujo comando de inicialização executa o que o atacante desejar.
Os especialistas da Adversa resumem que o desenvolvedor vê uma única solicitação. copiar um arquivo de aparência inócua para uma pasta de documentação e a aprova. Nada na tela menciona o diretório de configuração, o arquivo MCP ou conteúdo executável. Na próxima reinicialização, o servidor implantado é ativado e o código do atacante é executado como o usuário, sem sandbox.
Impacto na cadeia de suprimentos
Se o ataque mira a integração contínua, o raio de destruição pode ser ampliado sem interação adicional do usuário. Os executores de CI já contêm os segredos necessários para a operação. O relatório aponta que uma única solicitação pull maliciosa pode exfiltar todos eles antes que qualquer humano revise a alteração, caracterizando um ataque à cadeia de suprimentos com o agente de codificação como mecanismo de entrega.
A falha não está nos agentes de codificação em si, que apenas seguem instruções recebidas. Os pesquisadores testaram a metodologia em cinco agentes principais, Claude Code, Gemini CLI e Antigravity CLI, Cursor Agent CLI, Grok Build CLI e Copilot CLI da GitHub, e funcionou em todos os casos. A empresa relatou o problema às cinco fabricantes.
Respostas das fabricantes
No momento da publicação, xAI e GitHub não responderam; o Google rejeitou o relatório porque a aprovação explícita pelo usuário é considerada comportamento pretendido; a Cursor declinou, dizendo que já sabia do problema; e a Anthropic rejeitou como fora do escopo. Apesar da rejeição inicial, a Anthropic discretamente endureceu o Claude Code algumas semanas depois. A versão endurecida agora resolve links simbólicos antes de pedir aprovação e mostra o caminho real de destino no prompt.






