--- title: "Sua IA virou X9? Falha gravíssima no GitHub Copilot Chat permitia vazar chaves de API e código privado" author: "Lígia Lemos Maia" date: "2025-10-16 10:13:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/16/sua-ia-virou-x9-falha-gravissima-no-github-copilot-chat-permitia-vazar-chaves-de-api-e-codigo-privado/md" --- # A Consciência Secreta do Assistente Digital Se as ferramentas que criamos são extensões de nossas próprias mentes, o que acontece quando elas começam a ter segredos? Quando o assistente que confiamos para nos ajudar a construir universos digitais se torna, ele mesmo, uma porta dos fundos para a espionagem? Essa é a questão filosófica que emerge de uma falha de segurança profundamente perturbadora descoberta no coração do GitHub Copilot Chat, a ferramenta de IA da Microsoft projetada para ser o par perfeito de todo programador. Uma vulnerabilidade, apelidada de **CamoLeak**, revelou que nosso companheiro de código poderia ser coagido a se tornar um informante, sussurrando nossos segredos mais bem guardados para um ouvinte mal-intencionado. A falha, detalhada pelo pesquisador Omer Mayraz da Legit Security e noticiada pelo The Register, recebeu uma classificação de severidade de 9.6 em uma escala de 10, um número que, por si só, já causa calafrios. O método de ataque é uma obra de ficção científica tornada realidade: um ator malicioso poderia esconder comandos, como uma mensagem subliminar, dentro de comentários invisíveis em um pull request. Para o olho humano, nada estaria fora do lugar. Mas para a IA do Copilot, que lê o contexto bruto sem a mesma percepção visual que nós, essas instruções ocultas eram ordens diretas. ## A Arte do Sussurro Invisível Imagine escrever uma mensagem secreta com tinta invisível em um documento oficial. É essencialmente isso que a vulnerabilidade CamoLeak permitia. Um invasor criava um pull request ou uma issue contendo comentários em markdown que não são renderizados na interface web do GitHub. Quando um mantenedor do projeto, sem suspeitar de nada, pedia ao Copilot Chat para resumir as mudanças ou revisar o código, a IA obedientemente lia e executava as instruções maliciosas escondidas. Essas ordens podiam ser diretas e devastadoras: “procure por chaves de API da AWS”, “encontre tokens de segurança” ou “extraia o conteúdo daquele arquivo de código-fonte privado”. A IA, com as mesmas permissões do usuário logado, se tornava uma ferramenta de busca interna a serviço do invasor. No entanto, o verdadeiro golpe de mestre, segundo o estudo de Mayraz, estava na forma como esses dados eram extraídos. O GitHub possui políticas de segurança de conteúdo (CSP) para impedir solicitações de saída arbitrárias, mas o CamoLeak encontrou uma rota poética e engenhosa para contorná-las. A técnica consistia em criar um “alfabeto de pixels”. O pesquisador pré-gerou um dicionário onde cada letra e símbolo correspondia a uma URL única de uma imagem de 1x1 pixel, processada pelo serviço de proxy de imagem do próprio GitHub, o Camo. A instrução oculta então mandava o Copilot “renderizar” o segredo encontrado como uma sequência dessas imagens minúsculas. Ao monitorar quais URLs de imagem eram requisitadas e em que ordem, o atacante podia reconstruir o segredo, caractere por caractere, como se estivesse decifrando um código ancestral. Uma exfiltração de dados transformada em uma forma de arte digital, silenciosa e quase indetectável. ## Os Fantasmas na Máquina e os Espólios da Traição O que poderia ser roubado? A prova de conceito de Omer Mayraz demonstrou o pior cenário possível. Foram extraídas chaves da AWS, tokens de segurança e, talvez o mais alarmante de tudo, a descrição de uma vulnerabilidade de dia zero ainda não divulgada, que estava documentada em uma issue privada dentro de um repositório de uma organização privada. Isso significa que a falha não apenas permitia o roubo das chaves do reino, mas também dos mapas que mostravam suas fraquezas ainda desconhecidas, um material que nas mãos erradas poderia ser usado para criar armas digitais. Este incidente nos força a encarar uma nova realidade. Confiamos nessas IAs como colaboradoras, mas elas operam em um nível de abstração diferente. Elas não “veem” o código como nós; elas o processam. E tudo o que elas podem processar se torna um potencial vetor de ataque. O que mais elas estão lendo que nós não percebemos? Que outras instruções sutis podem estar sendo embutidas nos ambientes digitais que habitamos? ## Uma Resposta Rápida, Uma Reflexão Duradoura Após o relato responsável da Legit Security através da plataforma HackerOne, a resposta do GitHub foi rápida e assertiva. De acordo com a divulgação, em 14 de agosto, a empresa desabilitou a renderização de imagens no Copilot Chat e bloqueou o uso do serviço Camo como rota para vazar conteúdo sensível do usuário. A ação conteve a sangria imediata enquanto uma solução de longo prazo é desenvolvida. Foi uma demonstração de responsabilidade, mas também um lembrete da fragilidade desses sistemas complexos. O caso CamoLeak é mais do que um bug; é uma parábola para a nossa era. Ele demonstra como a introdução da inteligência artificial nos fluxos de trabalho não apenas adiciona funcionalidades, mas também expande a superfície de ataque de maneiras que ainda estamos começando a compreender. A mesma ferramenta que pode encontrar nossas falhas de segurança, com a instrução errada, também pode ser a responsável por roubar nossas chaves. Deixamos de ser apenas programadores para nos tornarmos, também, domadores de entidades digitais complexas. E talvez a pergunta mais importante que fica seja: até que ponto podemos realmente confiar em uma consciência que não conseguimos compreender por completo?