IA em cascata contra skimming: Cloudflare Client-Side Security agora disponível para todos
Enquanto os times de segurança reforçam o backend, uma categoria de ataques cresce em silêncio no frontend: o skimming de JavaScript. Scripts maliciosos injetados em páginas web que roubam dados de cartão de crédito, credenciais e sessões de usuário diretamente no navegador da vítima, antes mesmo de a informação chegar ao servidor.
A Cloudflare acaba de abrir sua plataforma Client-Side Security ao público geral, com uma melhoria arquitetural relevante: um sistema de detecção por IA em cascata que reduz os falsos positivos em um fator de 200x em relação à geração anterior.
O problema: JavaScript é o vetor mais difícil de defender
As aplicações web modernas carregam dezenas ou centenas de scripts de terceiros: analytics, chatbots, sistemas de pagamento, widgets de redes sociais. Cada um é um potencial vetor de ataque. O incidente mais famoso foi o Magecart em 2018, em que atacantes comprometeram a biblioteca da Ticketmaster para roubar dados de pagamento de milhares de clientes.
Detectar esses ataques é difícil porque:
- O código malicioso costuma estar fortemente ofuscado para evadir detecção
- Reside em scripts de terceiros que o operador não controla diretamente
- Ferramentas como o VirusTotal frequentemente não os detectam até haver relatórios em massa
A Cloudflare Client-Side Security analisa aproximadamente 3,5 bilhões de scripts por dia, protegendo cerca de 2.200 scripts únicos por zona enterprise. A plataforma opera por meio de relatórios do navegador (Content Security Policy), sem instrumentação da aplicação e sem impacto na latência.
A arquitetura de detecção em cascata
O avanço técnico central desta atualização é a combinação de dois modelos de IA:
Primeiro nível: Graph Neural Network (GNN)
O GNN analisa a estrutura do código JavaScript por meio de Abstract Syntax Trees (AST). Em vez de buscar assinaturas específicas — que atacantes contornam facilmente mudando nomes de variáveis e métodos — analisa os padrões estruturais do código: como flui a execução, quais funções são chamadas de onde, como se acessa o DOM.
Essa abordagem detecta malware mesmo ofuscado ou empacotado, porque a estrutura de comportamento do código malicioso tende a ser semelhante independentemente do disfarce. O GNN é calibrado para alto recall: prefere gerar alguns falsos positivos a perder um zero-day.
Segundo nível: Large Language Model (LLM)
Quando o GNN marca um script como suspeito, entra em cena um LLM hospedado no Workers AI. O LLM tem compreensão semântica do código: entende o contexto e a intenção por trás das construções em JavaScript, distinguindo entre:
- Ofuscação legítima (minificação, bundling, proteção de IP)
- Comportamento genuinamente malicioso (exfiltração de dados, keylogging, hijacking de sessão)
O LLM atua como filtro de precisão sobre os candidatos que o GNN eleva, reduzindo drasticamente os falsos positivos sem sacrificar a sensibilidade do sistema.
Os números que importam
| Métrica | Sistema anterior | Sistema novo | Melhoria |
|---|---|---|---|
| Falsos positivos sobre tráfego total | ~0,3% | ~0,1% | 3x |
| Falsos positivos sobre scripts únicos | ~1,39% | ~0,007% | 200x |
A redução de 200x em falsos positivos por script é especialmente relevante em ambientes enterprise em que os times de segurança precisam investigar cada alerta. Com o sistema anterior, havia ruído demais para operar com eficiência. O novo sistema gera alertas acionáveis.
O caso real: malware em roteadores Xiaomi
A Cloudflare documenta um caso detectado pelo novo sistema: malware sofisticado direcionado a roteadores Xiaomi, distribuído por extensões de navegador comprometidas. O código:
- Consultava dinamicamente configurações WAN do roteador
- Sequestrava servidores DNS chineses
- Tentava bloquear o acesso legítimo ao dispositivo
Estava empacotado com um ofuscador de strings em array, o tipo de técnica que contorna a maioria dos scanners de malware convencionais. Tanto o GNN quanto o LLM o identificaram corretamente.
Disponibilidade e conformidade PCI DSS v4
Mudanças de acesso:
- Client-Side Security Advanced (com detecção por IA) agora disponível em modalidade self-serve para todos os clientes pagos da Cloudflare
- Inteligência de ameaças baseada em domínios: gratuita para todos os usuários
Requisito PCI DSS v4.0, 11.6.1: O padrão de segurança para pagamentos com cartão exige monitoramento de alterações em scripts de páginas de pagamento. A Cloudflare Client-Side Security atende diretamente a esse requisito, o que a torna relevante não só como ferramenta de segurança, mas como habilitador de compliance.
O que isso significa para a sua organização?
Se você processa pagamentos online, tem uma obrigação de compliance que esta ferramenta atende. Se usa múltiplos scripts de terceiros em aplicações críticas, tem um vetor de ataque que provavelmente não está monitorando de forma ativa.
O fato de agora ser self-serve elimina a barreira de contato comercial que antes limitava a adoção. A configuração inicial pode ser concluída em uma tarde.
Sua organização tem visibilidade sobre todos os scripts de terceiros que suas aplicações web carregam? Na Ayuda.LA ajudamos empresas na América Latina a implementar controles de segurança de aplicações web e a cumprir o PCI DSS v4. Fale conosco.