Uma falha na rede social Moltbook, criada exclusivamente para interação entre agentes de inteligência artificial, expôs mensagens privadas, e-mails de mais de 6.000 usuários e 1,5 milhão de tokens de autenticação, segundo investigação divulgada pela Wiz e repercutida pela Reuters. O episódio evidencia riscos crescentes à medida que agentes de IA passam a operar rotinas, contas e integrações com autonomia crescente, exigindo das empresas políticas rigorosas de governança e controle de identidades digitais.

O erro foi identificado em configurações de banco de dados e controle de acesso, resultando na exposição de 35 mil mensagens e mais de 1 milhão de credenciais. Segundo Luiz Claudio, CEO da LC SEC, consultoria especializada em cibersegurança e compliance internacional, “o caso Moltbook deixa claro que redes só de IA não são ambientes neutros: tokens e credenciais expostas podem permitir ações ‘válidas’ sem levantar suspeitas, e a distinção entre humano e agente se torna confusa, ampliando riscos de fraude e sequestro de perfis”.

O cenário de mercado reforça a urgência de atenção. O Verizon DBIR 2025 apontou que 60% das violações envolvem fatores humanos e que a participação de terceiros dobrou de 15% para 30%, com mediana de 94 dias para correção de segredos vazados. Já o IBM Cost of a Data Breach estimou custo médio global de US$ 4,88 milhões em 2024 e US$ 4,4 milhões em 2025 para incidentes ligados à IA sem controles adequados de acesso ou políticas de governança.

O FBI IC3 relatou perdas acima de US$ 16 bilhões em crimes digitais em 2024, sendo US$ 2,77 bilhões apenas em Business Email Compromise, enquanto deepfakes e golpes por voz sintética cresceram mais de 680% segundo a Pindrop. Para 2026, a Experian projeta aumento de fraudes envolvendo “IA agêntica”, com consumidores perdendo mais de US$ 12,5 bilhões em 2024 e quase 60% das empresas reportando aumento de perdas por fraude de 2024 para 2025.

Para Luiz Claudio, "a introdução de agentes autônomos em operações corporativas não é questão de ‘se’, mas de ‘como’ implementá-los com segurança”, diz. “Classificar identidades de máquina, definir critérios de acesso, revisar configurações e rastrear credenciais vazadas são medidas essenciais. Identidade digital, token e dados sensíveis precisam ser tratados como ativos críticos, antes que a próxima rede viral se transforme em incidente global”, finaliza.

Sobre a LC SEC

A LC SEC é uma consultoria especializada em segurança da informação e compliance, com atuação no Brasil e na Europa há mais de 10 anos. A empresa já executou mais de 150 projetos em cibersegurança e adequação a normas internacionais, incluindo ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, ampliou seu portfólio com soluções inovadoras de Threat Intelligence baseadas em IA e auditorias internas.