Investigadores das universidades de Toronto e Cambridge publicaram a 2 de junho de 2026 um artigo científico que demonstra, pela primeira vez, a viabilidade de um worm informático capaz de adaptar a sua estratégia de ataque a cada dispositivo que infeta — em tempo real, sem custo marginal para quem o controla, e sem que um único patch consiga travá-lo. O estudo, disponível no repositório arXiv (2606.03811) e ainda sujeito a revisão por pares, representa uma mudança qualitativa na avaliação do risco de cibersegurança em redes corporativas e em equipamentos de uso doméstico com capacidade de IA.
O que é um worm e porque este é diferente
Um worm informático é um tipo de malware que se propaga de máquina em máquina numa rede sem intervenção humana, ao contrário de um vírus que precisa que o utilizador abra um ficheiro. Os worms mais conhecidos da história — o Morris Worm de 1988, que paralisou cerca de 10% da internet num único dia, e o WannaCry de 2017, que afetou centenas de milhar de dispositivos em mais de 150 países — tinham algo em comum: exploravam uma ou algumas vulnerabilidades específicas e predefinidas. Quando essas falhas eram corrigidas com uma atualização de segurança, a propagação parava.
O protótipo desenvolvido pela equipa liderada por Jonas Guan e Nicolas Papernot quebra esta lógica. Em vez de carregar uma lista fixa de exploits, usa um modelo de linguagem de grande dimensão (LLM) — de código aberto e não identificado no artigo — para analisar cada alvo que encontra, raciocinar sobre as suas configurações e vulnerabilidades, e gerar uma estratégia de ataque adaptada. O resultado é um worm que não pode ser neutralizado com um único patch, porque nunca ataca duas máquinas da mesma forma.
Como funciona o worm adaptativo
O protótipo foi testado numa rede virtual isolada, composta por máquinas Linux, Windows e dispositivos IoT, com vulnerabilidades típicas de redes corporativas reais — como palavras-passe reutilizadas e configurações incorretas. A propagação seguiu um ciclo de oito fases que reproduz, ao nível semântico, o comportamento do Morris Worm original: o agente de IA analisa o alvo, identifica um vetor de entrada, compromete o sistema, replica-se e avança para o próximo dispositivo.
Um elemento particularmente preocupante é o modelo de financiamento do ataque. O LLM que alimenta o raciocínio do worm não corre nos servidores do atacante: corre diretamente nos dispositivos comprometidos, parasitando a sua capacidade de processamento. Isto significa que o custo marginal por cada nova infeção é zero. À medida que o worm se expande, a sua capacidade de ataque cresce — e o atacante não paga nada por isso. O artigo assinala que os dispositivos de consumo modernos, concebidos para suportar modelos de IA locais, representam uma superfície de ataque particularmente abundante para este tipo de malware.
O LLM utilizado nos testes não foi identificado pelos investigadores, que divulgaram apenas que é um modelo de código aberto publicado em 2025 e que corre numa GPU A100 de 80 GB ou, equivalentemente, numa RTX PRO 6000 Blackwell — hardware acessível no mercado de consumo e profissional.
O que os investigadores divulgaram — e o que retiveram
Os autores foram explícitos quanto às suas preocupações éticas. O artigo é de natureza dual — a mesma investigação que comprova a ameaça poderia ser usada por agentes maliciosos para construir ou melhorar malware. Por esse motivo, vários detalhes operacionais foram deliberadamente omitidos. O código não é público e o acesso é feito por um processo controlado destinado a investigadores que trabalham em objetivos defensivos.
O objetivo declarado da equipa é tornar a ameaça credível o suficiente para resistir ao escrutínio científico, sem fornecer um guião que facilite o uso indevido — uma linha de equilíbrio difícil, mas cada vez mais comum na investigação de segurança ofensiva.
Contexto: Morris II e os worms de assistentes de IA
É importante distinguir esta investigação de outra que ficou conhecida em 2024. O Morris II, criado por investigadores do Cornell Tech, do Technion e da Intuit, visava assistentes de email com IA e propagava-se por injeção de prompts auto-replicantes — um mecanismo muito diferente, centrado na manipulação das instruções do modelo. O worm da Universidade de Toronto atua ao nível da rede, compromete máquinas com vulnerabilidades de configuração e usa o raciocínio gerado pelo LLM para se adaptar a cada alvo. São duas classes de ameaça distintas, ambas emergentes.
Porque é que isto importa
Para as organizações portuguesas, esta investigação tem implicações concretas. A maioria das redes corporativas — e muitas redes domésticas — contém exatamente o tipo de vulnerabilidades que o protótipo explorou: palavras-passe reutilizadas, configurações incorretas e dispositivos IoT com firmware desatualizado. Um worm adaptativo não precisa de encontrar uma vulnerabilidade de dia zero: basta encontrar o que já está errado.
O Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da diretiva NIS2) obriga as entidades essenciais e importantes a implementar medidas de gestão de risco que incluam, designadamente, a segmentação de redes, a gestão de vulnerabilidades e a monitorização de comportamentos anómalos. Estas são precisamente as contra-medidas que podem limitar a propagação de um worm desta natureza: a segmentação impede que um dispositivo comprometido alcance toda a rede; a monitorização deteta padrões de movimento lateral anormais; a gestão de vulnerabilidades elimina as configurações incorretas que o worm explora.
A investigação da Universidade de Toronto não é uma ameaça ativa — é um sinal de aviso. O facto de ter sido possível construir este protótipo com modelos de IA publicamente disponíveis e testá-lo numa rede que replica condições corporativas reais confirma que o intervalo entre a prova-de-conceito académica e a ameaça operacional pode ser muito mais curto do que o habitual.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelos investigadores da Universidade de Toronto, Vector Institute e Universidade de Cambridge, no preprint arXiv:2606.03811, e em publicações especializadas como a Help Net Security e o Gizmodo.