olimposec.com
TLP:CLEAR · publicação aberta · segurança de sistemas de IA

Segurança de TI para a era da inteligência artificial.

A OlimpoSec publica análises, guias e alertas sobre a superfície de ataque que nasce com modelos de linguagem e machine learning: prompt injection, envenenamento de dados, supply chain de modelos e governança. Em português, com rigor técnico.

entrada do usuário → tokenização → análise ⚠ padrão de prompt injection detectado
trilhas de conteúdo

O que cobrimos

Seis frentes que definem a segurança de sistemas de IA hoje — dos frameworks de referência às técnicas de ataque e defesa.

LLM01 · injeção

Prompt injection e jailbreaks

Injeção direta e indireta, exfiltração via ferramentas, contaminação por conteúdo externo e estratégias de mitigação em agentes.

Ver artigos →
framework · OWASP

OWASP Top 10 para LLMs

A referência aberta para riscos em aplicações com modelos de linguagem, comentada item a item com exemplos práticos.

Ver artigos →
framework · MITRE

MITRE ATLAS

Táticas e técnicas de adversários contra sistemas de ML, mapeadas no estilo ATT&CK — e como usá-las em threat modeling.

Ver artigos →
ml · adversarial

Adversarial machine learning

Evasão, envenenamento de dados de treino, extração de modelos e inferência de pertencimento — a base científica dos ataques.

Ver artigos →
cadeia · supply chain

Supply chain de modelos

Riscos em pesos pré-treinados, datasets públicos, hubs de modelos e dependências de pipelines de MLOps.

Ver artigos →
governança · lgpd

Governança e conformidade

LGPD aplicada a dados de treinamento, gestão de risco de IA (NIST AI RMF, ISO/IEC 42001) e políticas de uso corporativo.

Ver artigos →
boletim

Últimas publicações

Cada artigo indica o nível de risco tratado e as referências usadas — no formato que analistas já conhecem.

panoramaOS-2026-001 · 2026-06-21

Rust Foundation cria cargo dedicado a triagem de vulnerabilidades assistida por IA

A Rust Foundation abriu uma vaga full-time de "AI Security Engineer in Residence", bancada por verba do Alpha-Omega Project, para revisar o compilador Rust e os crates mais críticos do ecossistema. A iniciativa responde a um problema crescente: ferramentas baseadas em modelos de linguagem passaram a gerar tanto achados reais de vulnerabilidades quanto uma enxurrada de relatórios plausíveis, porém inúteis, sobrecarregando mantenedores voluntários. O profissional vai combinar revisão humana e assistida por IA para separar sinal de ruído, documentando métodos e playbooks para o resto da comunidade.

risco altoOS-2026-002 · 2026-06-09

Repositórios da Microsoft no GitHub são comprometidos para distribuir malware a usuários de Claude e Gemini

A Microsoft desativou mais de 70 repositórios próprios no GitHub, entre eles os de Azure Functions e Durable Task, depois que pesquisadores identificaram um commit malicioso que plantava arquivos de configuração armadilhados. Esses arquivos eram acionados ao abrir o repositório em ferramentas de codificação com IA como Claude Code, Gemini CLI, Cursor e VS Code, capturando credenciais das vítimas. O caso expõe um vetor de ataque à cadeia de suprimentos voltado especificamente a fluxos de trabalho de agentes de codificação assistidos por IA; a Microsoft diz ter notificado os clientes potencialmente afetados.

panoramaOS-2026-003 · 2026-06-08

Ruby adota período de 'resfriamento' no Bundler contra ataques à cadeia de suprimentos

O Bundler, gerenciador de pacotes do Ruby, ganhou um filtro opcional de "cooldown" que adia a instalação de versões recém-publicadas de gems até que fiquem públicas por um número mínimo de dias, reduzindo a janela usada em ataques de supply chain. A medida se soma a outras defesas do RubyGems.org, como validação de conteúdo no momento do push, checagem de senhas vazadas via Have I Been Pwned e publicação confiável. O material também cita que uma equipe dedicada já roda varredura de vulnerabilidades assistida por IA nas gems mais críticas do ecossistema, com apoio do Alpha-Omega Project e da Anthropic.

Receba o boletim OlimpoSec

Um resumo quinzenal com novas técnicas de ataque, publicações relevantes e mudanças nos frameworks — direto no seu e-mail, sem ruído.

frequência quinzenal · cancele quando quiser

sobre

Por que a OlimpoSec existe

A adoção de inteligência artificial correu mais rápido que a capacidade das equipes de segurança de entendê-la. A maior parte do material técnico de qualidade está em inglês, disperso e, muitas vezes, desatualizado em semanas.

A OlimpoSec nasce para fechar essa lacuna no Brasil: conteúdo em português, verificado contra as fontes primárias, escrito por quem trabalha com análise de vulnerabilidades e resposta a incidentes no dia a dia.

  • fonte primáriaTodo artigo cita especificações, advisories e papers originais — nada de telefone sem fio.
  • reprodutívelTécnicas demonstradas em ambiente de laboratório, com passos que você pode validar.
  • divulgação responsávelSeguimos TLP 2.0 e boas práticas de coordenação antes de publicar detalhes exploráveis.