Um novo sistema de pontuação de vulnerabilidade, o AI Vulnerability Scoring System (AIVSS), foi anunciado. O objetivo é abordar as deficiências dos modelos tradicionais, como o Common Vulnerability Scoring System (CVSS), que não podem avaliar efetivamente a complexidade das tecnologias modernas de IA.
O especialista em segurança de IA Ken Huang apresentou a estrutura AIVSS, observando que o CVSS é inadequado para avaliar vulnerabilidades em sistemas autônomos de IA.
“O CVSS e outras estruturas regulares de vulnerabilidade de software não são suficientes”, explicou Huang. “Eles assumem uma codificação determinística tradicional. Precisamos lidar com a natureza não determinística da IA agente.”
Huang co-lidera o projeto AIVSS com notáveis líderes acadêmicos e de segurança cibernética, como o CTO da Zenity, Michael Bargury, o engenheiro da AWS, Vineeth Sai Narajala, e o diretor de segurança da informação de Stanford, Bhavya Gupta.
O grupo trabalhou com o Open Worldwide Application Security Project (OWASP) para criar uma estrutura para avaliar as ameaças à segurança da IA de maneira estruturada e mensurável.
Uma nova abordagem para a pontuação de vulnerabilidade de IA:
O AI Vulnerability Scoring System modifica o modelo CVSS adicionando novos parâmetros para sistemas de IA. Inicia-se com uma pontuação CVSS base e acrescenta uma avaliação das capacidades agenciais, considerando a autonomia e o uso da ferramenta, o que pode aumentar os riscos. A pontuação final de vulnerabilidade é obtida calculando a média dessa pontuação combinada e ajustando-a ao contexto ambiental.
Um portal dedicado na aivss.owasp.org oferece documentação, guias para avaliação de risco de IA e uma ferramenta de pontuação para avaliar as pontuações de vulnerabilidade de IA.
Huang destacou uma diferença crítica entre os sistemas de IA e o software tradicional: a fluidez das identidades de IA. “Não podemos assumir as identidades usadas no momento da implantação”, disse ele. “Com a IA agente, você precisa que a identidade seja efêmera e atribuída dinamicamente. Se você realmente quer ter autonomia, você tem que dar a ele os privilégios necessários para terminar a tarefa.”
Principais riscos em sistemas de IA agênticos:
O projeto AIVSS também identificou os dez principais riscos de segurança mais graves para a Agentic AI, embora a equipe tenha se abstido de chamá-lo de lista oficial dos “10 melhores”. Os riscos atuais incluem:
Uso indevido da ferramenta de IA da Agentic
Violação do controle de acesso do agente
Falhas em cascata do agente
Orquestração de agentes e exploração de vários agentes
Representação de identidade do agente
Memória do agente e manipulação de contexto
Interação de sistemas críticos de agente inseguro
Ataques de dependência e cadeia de suprimentos de agentes
Não rastreabilidade do agente
Objetivo do agente e manipulação de instruções
Cada um desses riscos reflete a natureza interconectada e composicional dos sistemas de IA. Como observa o rascunho do documento AIVSS, “Alguma repetição nas entradas é intencional. Os sistemas agenciais são composicionais e interconectados por design. Até o momento, os riscos mais comuns, como uso indevido de ferramentas, manipulação de metas ou violações de controle de acesso, geralmente se sobrepõem ou se reforçam em cascata.”
Huang forneceu um exemplo de como isso se manifesta na prática: “Para o uso indevido de ferramentas, não deve haver risco na seleção de uma ferramenta. Mas nos sistemas MCP, há representação de ferramentas e também uso inseguro de ferramentas.”