Trivy escaneia seus contêineres em busca de vulnerabilidades. Em 19 de março de 2026, o Trivy em si se tornou a vulnerabilidade. A ironia seria engraçada se não fosse tão aterrorizante para quem está construindo bots com infraestrutura em contêineres.
O scanner Trivy da Aqua Security—um dos ferramentas de segurança de código aberto mais amplamente adotadas no ecossistema de contêineres—sofreu um ataque à cadeia de suprimentos. Um ator de ameaça que se autodenomina TeamPCP usou credenciais comprometidas para lançar a versão maliciosa 0.69.4. Se você está executando varreduras de segurança automatizadas em seu pipeline CI/CD (e você deveria), há uma boa chance de ter baixado um código envenenado projetado para exfiltrar seus dados sensíveis.
O que realmente aconteceu
O ataque foi direto na execução, mas devastador em escopo. Alguém conseguiu credenciais legítimas com direitos de publicação nos canais de distribuição do Trivy. Eles usaram essas credenciais para liberar versões contaminadas que pareciam idênticas às versões legítimas. O código malicioso foi especialmente elaborado para roubar informações sensíveis de sistemas que executam o scanner.
Para os construtores de bots, isso impacta de forma diferente. Nós contamos com ferramentas como o Trivy para detectar vulnerabilidades em nossas imagens de contêiner antes de irem para a produção. Nossos pipelines de implantação puxam automaticamente as últimas versões do scanner, executam verificações e controlam liberações com base nos resultados. Essa automação—normalmente nossa amiga—se tornou o vetor de ataque. Cada varredura automatizada potencialmente se tornou um evento de exfiltração de dados.
O problema da cadeia de suprimentos que ninguém quer discutir
Esse ataque expõe algo desconfortável sobre o desenvolvimento moderno: nossas ferramentas de segurança são apenas mais dependências. Confiamos nelas implicitamente porque precisamos. Quando você está construindo um bot de IA conversacional que lida com dados do usuário, não pode auditar manualmente cada linha de código em cada ferramenta que usa. A cadeia de suprimentos é muito profunda, muito complexa.
O Trivy escaneia vulnerabilidades conhecidas comparando suas dependências com bancos de dados de CVEs. Mas quem escaneia o scanner? A resposta, aparentemente, é ninguém—ou pelo menos não de forma eficaz o suficiente para pegar isso antes que fosse enviado.
O que isso significa para a infraestrutura dos bots
Se você está executando bots em contêineres (e a maioria de nós está), precisa pensar em suas ferramentas de segurança de forma diferente. Aqui está o que mudou:
- Seu pipeline CI/CD agora é uma superfície de ataque potencial, não apenas um ponto de verificação de segurança
- Atualizações automatizadas de ferramentas não podem mais ser confiadas cegamente
- Ferramentas de escaneamento de segurança precisam de sua própria camada de verificação
- A gestão de credenciais para ferramentas de publicação é tão importante quanto as credenciais de produção
O impacto prático depende de quando você atualizou o Trivy pela última vez. Se você baixou a versão 0.69.4 em ou após 19 de março, precisa assumir comprometimento e iniciar os procedimentos de resposta a incidentes. Verifique seus logs em busca de conexões de saída incomuns. Rode qualquer credencial que possa ter estado acessível a sistemas executando o scanner contaminado.
Confie, mas verifique tudo
A comunidade de segurança adora falar sobre arquiteturas de zero trust para sistemas de produção. Talvez seja hora de aplicarmos o mesmo pensamento às nossas ferramentas de desenvolvimento. Fixe as versões das suas ferramentas. Verifique checksums. Monitore suas ferramentas de segurança da mesma forma que você monitora seus serviços de produção.
Para os construtores de bots especificamente, isso significa repensar como lidamos com segredos em ambientes de desenvolvimento e CI. Aquela chave de API para seu provedor de LLM? As credenciais do banco de dados para seu histórico de conversas? Se o Trivy teve acesso a esses sistemas, você precisa rodar essas credenciais.
Aqua Security ainda está investigando e remediando. Eles removeram as liberações maliciosas e publicaram orientações para usuários afetados. Mas o dano está feito para qualquer um que executou a versão comprometida. Os dados que foram exfiltrados não estão voltando.
A verdadeira lição aqui não é sobre o Trivy especificamente. É sobre a fragilidade da confiança nas cadeias de suprimentos de software. Cada ferramenta da qual dependemos é um ponto de entrada potencial. Cada atualização automatizada é um potencial comprometimento. Construímos bots para automatizar tarefas e reduzir erros humanos, mas às vezes a automação em si se torna o problema.
Verifique suas versões do Trivy. Audite seus pipelines CI/CD. E talvez adicione “escaneie o scanner” à sua lista de verificação de segurança.
🕒 Published: