Pesquisadores da equipe STAR, da Straiker, descobriram o Villager, um framework de pentest movido por inteligência artificial, desenvolvido pelo grupo chinês Cyberspike. Em apenas dois meses, a ferramenta já acumulou mais de 10.000 downloads no PyPI, o repositório oficial de pacotes Python.
O que é o Villager
Villager junta o melhor (ou pior, dependendo da perspectiva) das ferramentas do Kali Linux com modelos de IA do DeepSeek, automatizando de ponta a ponta os fluxos de trabalho de pentest. Funciona como um cliente MCP (Model Context Protocol), coordenando ataques com base em prompts gerados por IA. Tudo isso dentro de containers temporários, que se autodestruem em 24 horas, eliminando rastros e dificultando qualquer tentativa de análise forense.
A cereja do bolo é a interface em linguagem natural. Basta escrever um comando como “teste example.com por vulnerabilidades” e pronto, o Villager cuida do resto. Ele quebra isso em subtarefas, organiza dependências, escolhe ferramentas, executa cada passo na ordem correta e ainda se recupera sozinho se algo falhar. É a automação no modo turbo.
O grupo por trás da criação
O domínio cyberspike.top foi registrado em novembro de 2023 pela empresa Changchun Anshanyuan Technology Co., Ltd., da China. Oficialmente, a empresa atua com desenvolvimento de software de IA. Mas, na prática, não existem sinais visíveis de uma operação legítima. Sem site, sem presença pública, apenas registros burocráticos.
Antes do Villager, a Cyberspike já distribuía um pacote de RATs (ferramentas de administração remota) baseado no famoso AsyncRAT, conhecido por espionagem digital. As funcionalidades incluíam desde controle remoto da máquina até sequestro de webcam e roubo de contas do Discord. O autor do projeto atual atende pelo apelido @stupidfish001 e tem ligação direta com a equipe chinesa HSCSEC, especializada em CTFs (competições de segurança ofensiva).
Como o Villager automatiza ataques com IA
O Villager não é apenas uma junção de scripts de ataque. Ele estrutura uma arquitetura modular que se comunica por meio de um serviço MCP na porta 25989. Internamente, usa uma base de mais de quatro mil prompts de IA para tomar decisões em tempo real durante os ataques.
Além disso, oferece integração com navegador automatizado, executa código diretamente via funções como pyeval() e é capaz de adaptar suas ações com base no ambiente-alvo. Se encontra um site WordPress, roda o WPScan. Se detecta endpoints de API, muda para varredura dinâmica com navegador. Tudo isso sem intervenção humana.
E claro, os containers são criados sob demanda, com ambientes isolados de Kali Linux que se autodestroem depois de 24 horas. Os registros de atividades desaparecem junto com eles, tornando qualquer análise posterior quase inútil.
O impacto para empresas e para o mercado de segurança
O surgimento do Villager marca um ponto de inflexão. Antes, para conduzir ataques complexos, era necessário conhecimento técnico avançado, tempo e coordenação. Agora, basta saber o que quer fazer. A IA cuida do resto. Isso muda tudo.
A distribuição da ferramenta via PyPI também preocupa. Ela entra pela porta da frente, usando canais confiáveis, e com isso evita muitos filtros de segurança tradicionais. Isso também abre espaço para que qualquer pessoa, inclusive atores mal-intencionados, tenha acesso fácil a uma estrutura poderosa de ataque automatizado.
A escalabilidade é outro fator crítico. Villager permite conduzir campanhas coordenadas em larga escala, com múltiplos alvos e múltiplos vetores, sem depender de um operador humano para cada ação. Isso comprime os ciclos de ataque e resposta e aumenta o desafio para os times de segurança.
Não estamos mais falando de pentest como uma sequência de comandos e scripts. Estamos falando de um sistema que interpreta objetivos, escolhe as ferramentas certas, adapta a estratégia em tempo real e apaga os rastros. É o que pesquisadores já estão chamando de AIPT Ameaças Persistentes Automatizadas por IA.
Esse tipo de ferramenta mostra, com clareza, o quão frágil pode ser o equilíbrio entre inovação tecnológica e seu uso responsável. E mais uma vez, a história se repete, o que começa como ferramenta legítima de segurança vira tecnologia para o lado oposto.
