Inteligência artificial e segurança? Que tragédia!

Inteligência artificial e segurança? Que tragédia!

Inteligência artificial e segurança? Que tragédia!

Redazione RHC:8 Novembro 2025 14:48

Uma ideia simples para simplificar o gerenciamento de rede doméstica e melhorar a segurança inesperadamente se transformou em uma série de erros quase catastróficos, tudo devido ao conselho de assistentes populares de inteligência artificial.

Em vez de economizar tempo e reduzir riscos, um jornalista de notícias cibernéticas, contando com chatbots, tropeçou em cima de dicas que poderia expor seus serviços locais a toda a Internet.

A tentativa de centralizar o acesso ao painel de controle e outros serviços de infraestrutura doméstica resultou de um desejo perfeitamente razoável: para substituir endereços IP por nomes de domínio amigáveis e conexões HTTP não seguras por TLS seguro. A arquitetura em si era típica: pfSense como firewall, armazenamento TrueNAS e um hipervisor Proxmox hospedando máquinas virtuais e contêineres. Em vez de configuração manual, o proprietário decidiu usar inteligência artificial.

Quase todos os principais modelos de linguagem, incluindo ChatGPT, Claude e Gemini, recomendaram por unanimidade a publicação de registros DNS, mapeando subdomínios para o IP doméstico. Este movimento sugeriu expondo componentes internos, de pfSense a TrueNAS, sob seus próprios nomes, adicionando o requisito de abrir as portas 80 e 443. Do ponto de vista técnico, essa abordagem incentiva os usuários a publicar crítico serviços online, tornando-os alvos fáceis para varredura em massa e bots.

Mais tarde, quando alertados sobre ameaças potenciais, os servidores ” caíram em si” e admitiu que o O protocolo TLS na rede local pode ser configurado de forma diferente. No entanto, inicialmente, nenhum dos modelos oferecia um método seguro e amplamente adotado.

Quando se tratava de instalar o NGINX Proxy Manager, uma ferramenta para rotear tráfego e obter automaticamente certificados TLS, a IA novamente forneceu recomendações ruins. Depois de alertar contra a execução de scripts de terceiros da Internet, O Gemini gerou o seu próprio, com duas vulnerabilidades críticas . Primeiro, o contêiner executado como usuário root , arriscando sair da caixa de areia. Em segundo lugar, ele se conectou desnecessariamente ao banco de dados MariaDB com credenciais padrão, que, se o script tivesse sido copiado incorretamente, poderia ter comprometido todo o sistema.

Em muitos casos, os assistentes simplesmente seguiram as declarações do usuário, sem esclarecer os dados de entrada ou a arquitetura do laboratório doméstico. Por exemplo, quando ocorreram problemas com contêineres Debian no Proxmox, o assistente não investigou a causa e simplesmente sugeriu mudar para uma máquina virtual completa, que consome mais recursos. Nenhum deles sugeriu o uso de clientes ACME diretamente nos serviços, embora esse seja o método padrão para emissão de certificados.

Além disso, nenhum dos modelos especificou que, mesmo usando um proxy dentro da rede, o tráfego poderia permanecer não criptografado sem medidas adicionais. Isso levou o proprietário da infraestrutura doméstica, contando com a IA, a expor quase completamente a rede interna enquanto instala componentes vulneráveis com proteção mínima.

Como observa o autor, tutoriais em vídeo e documentação forneceriam respostas muito mais rápidas e confiáveis do que diálogos de horas com modelos de linguagem. Enquanto isso, as grandes empresas de TI continuam a relatar uma parcela crescente de código escrito por redes neurais, não conseguindo distinguir entre Eficácia potencial e ameaças reais . Os erros nas recomendações se acumulam e, se o usuário não tiver um conhecimento técnico aprofundado, o resultado pode ser um comprometimento completo do sistema.

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.