Shadow AI cobrou o primeiro boleto

A empresa tem Mandiant no speed dial, mantém o Next.js que roda metade da web e nunca foi relaxada com security hygiene. Nada disso importou. O ataque entrou por um app chamado Context.ai, que um funcionário conectou ao Google Workspace corporativo meses atrás.

A cronologia de um boleto de US$ 2 milhões

A sequência é simples demais.

Em fevereiro, um funcionário da Context.ai baixou cheats de Roblox no notebook de trabalho. O arquivo veio com Lumma Stealer. As credenciais corporativas dele ficaram quase dois meses rodando em base de dados criminal antes que alguém notasse.

Em março, o atacante entrou na AWS da Context.ai usando essas credenciais. CrowdStrike foi chamado, investigou, declarou contido. O que o CrowdStrike não olhou foram os tokens OAuth que clientes da Context.ai tinham autorizado em seus próprios Workspaces.

Em abril, um desses tokens — de um funcionário da Vercel que tinha clicado "Allow All" na tela de consent meses antes — foi usado pra entrar na Vercel. Dias depois, um ator na BreachForums anunciou que estava vendendo os dados roubados por US$ 2 milhões.

Aqui mora o ponto que todo CISO precisa absorver. A Vercel tem MFA em tudo. Tem SSO. Tem EDR. Nenhum controle disparou. Porque o atacante não fez login. Usou um token que o próprio funcionário autorizou. OAuth não aparece em log de login. Não pede MFA. Não dispara alerta de comportamento anômalo. É um grant persistente, silencioso, com permissões largas que ninguém revisa porque foi concedido quando a prioridade era "liberar a ferramenta pro time usar".

OAuth virou o novo lateral movement

Esse playbook não é novo. Em 2024 foi Snowflake via infostealer. Em 2025, Salesloft e Drift via tokens OAuth. Agora Context.ai e Vercel. Mesmo roteiro. Invade um fornecedor pequeno de SaaS, coleta os tokens OAuth que ele mantém em nome dos clientes, e caminha pra dentro de dezenas de empresas enterprise usando credenciais que o próprio sistema foi desenhado pra emitir.

OAuth virou o novo lateral movement.

A diferença dessa semana é que a entrada foi um app de IA. Não um CRM, não um integrador de marketing. Uma ferramenta que um engenheiro instalou porque ia ajudar a montar apresentação. Shadow AI saiu da esfera teórica e cobrou o primeiro boleto grande.

Shadow AI deixou de ser projeção

Os números desse mercado deixaram de ser projeção.

Pesquisa da BlackFog em janeiro mostra que 86% dos funcionários usam IA semanalmente pra trabalho. 49% admitem usar sem aprovação. 58% rodam versões gratuitas, que quase sempre treinam em cima do que o usuário digita. O relatório da IBM calcula que breaches envolvendo Shadow AI custam US$ 670 mil a mais que a média. 20% das organizações já sofreram um. A Grip Security reportou aumento de 490% ano-a-ano em ataques ligados a IA.

A razão de Shadow AI ser pior que Shadow IT clássico é estrutural. Quando um funcionário usa um Dropbox pessoal, o dado se move. Quando conecta uma ferramenta de IA via OAuth, o grant persiste e dá ao fornecedor acesso de leitura a tudo que o usuário enxerga no Workspace. O fornecedor pode sumir amanhã. O token continua funcionando até alguém revogar explicitamente. Na Vercel, o token da Context.ai ficou ativo por muito tempo depois que o produto consumer foi descontinuado.

A IA também está do outro lado

Tem ainda a outra camada. Guillermo Rauch, CEO da Vercel, afirmou publicamente que acredita que os atacantes foram significativamente acelerados por IA.

Moveram-se com velocidade surpreendente e entendimento aprofundado da Vercel.

Não é marketing de incidente. Entre o acesso inicial e a enumeração das variáveis de ambiente, o atacante navegou a estrutura interna numa velocidade que Rauch descreve como superior à de operadores humanos.

É o outro lado da mesma moeda. A IA que o funcionário conectou ao Workspace pra ganhar produtividade. E a IA que o atacante usou pra processar o ambiente invadido mais rápido do que qualquer SOC conseguiria reagir. Se os controles defensivos ainda trabalham no ritmo humano e os ofensivos já operam no ritmo da máquina, a janela de resposta deixou de ser a mesma de 2023.

O inventário é o novo perímetro

O problema não é MFA. MFA continua importante. O problema é que a superfície de ataque mudou de endpoints e contaspra grafo de OAuth grants. Toda organização enterprise tem dezenas, às vezes centenas, desses grants ativos em Workspace e M365. A maioria não tem inventário. A maioria dos CISOs descobre que existem quando o fornecedor é invadido.

A resposta operacional é chata, mas curta. Inventário de OAuth é o novo asset management. Policy de consent granular no Workspace, tirando o default de "allow all". Revisão trimestral de apps autorizados. Tratamento de token OAuth como credencial de alta criticidade, não como conveniência.

Nenhuma dessas medidas é tecnicamente difícil. Todas são politicamente complicadas, porque frustram a produtividade bottom-up que é exatamente o que Shadow AI promete. A Vercel ajustou o default de variáveis de ambiente pra sensitive, melhorou a UI de gestão, engajou Mandiant. Nada disso resolve o problema estrutural.

Enquanto OAuth continuar sendo grant persistente que bypassa MFA, e enquanto o inventário de ferramentas de IA autorizadas no Workspace continuar sendo uma planilha desatualizada no drive de alguém, o próximo breach vai seguir o mesmo script. Troca só o nome do fornecedor.