A Palo Alto Networks, empresa de cibersegurança sediada na Califórnia, normalmente corrige cinco vulnerabilidades por mês. No entanto, neste mês, a empresa analisou todo o seu código-fonte usando algoritmos avançados de IA, incluindo o Anthropic Mythos, e descobriu 75 vulnerabilidades, abrangendo 23 delas classificadas como CVE.
Fonte da imagem: Sasun Bughdaryan / unsplash.com
Este é apenas um exemplo de como as tecnologias de IA estão acelerando a descoberta e a correção de vulnerabilidades, levando a um rápido aumento no número de patches lançados. Isso inclusive gerou o termo “volnapocalypse”, cuja primeira parte significa “vulnerabilidade”.
No início desta semana, a Microsoft anunciou que seu novo sistema de detecção de bugs baseado em IA, o MDASH, ajudou a gigante do software a identificar 17 vulnerabilidades em diversos produtos. O anúncio foi feito juntamente com o lançamento do pacote de atualização de segurança mais recente, como parte do programa Patch Tuesday. A Microsoft também divulgou informações sobre 30 vulnerabilidades críticas que corrigiu, um recorde para a empresa.
Na semana passada, a Mozilla informou que seus desenvolvedores corrigiram 423 bugs no Firefox em abril. Isso representa mais de cinco vezes os 76 patches lançados em março e quase 20 vezes a média mensal do ano passado, quando a Mozilla corrigiu uma média de 21,5 bugs por mês. A Mozilla já havia relatado que seu algoritmo de IA Mythos encontrou 271 vulnerabilidades no Firefox 150.
Agora que os modelos de IA se tornaram realmente bons em encontrar bugs em códigos de software, as empresas de segurança os estão usando para analisar seus próprios softwares, na esperança de encontrar e corrigir vulnerabilidades antes que sejam descobertas por invasores. Essa atividade se resume a duas coisas: um grande número de patches e uma grande quantidade de trabalho para os administradores de sistemas de TI.
“Inicialmente, sim, isso significa mais patches e, portanto, mais trabalho para os administradores. Com o tempo, o principal objetivo será corrigir o máximo possível.””Atualmente, existe um número significativo de vulnerabilidades e, com o tempo, essa taxa mensal diminuirá”, afirma Dustin Childs, especialista em segurança da informação e participante da Zero Day Initiative. Ele acrescentou ainda que todo esse processo pode ser bastante “doloroso”, já que muitos patches podem não funcionar corretamente ou, pior, podem afetar outros sistemas. “Muitos clientes já desconfiam de patches, então, se patches baseados em IA causarem problemas, os clientes os instalarão com menos frequência ao longo do tempo. Isso também se aplica a casos em que a IA apenas encontra bugs, mas não gera patches”, acredita Childs.
Isso não significa que as empresas de segurança da informação devam evitar o uso de ferramentas de IA para encontrar e corrigir vulnerabilidades. “Todos os fornecedores devem usar as ferramentas disponíveis para encontrar e corrigir bugs antes que os invasores possam explorá-los.” “O ideal seria encontrar bugs antes do lançamento de um produto, mas não tenho grandes expectativas de que isso aconteça”, acrescentou Childs.
A Microsoft e a Palo Alto Networks participam do projeto antrópico Glasswing, que permite o uso do famoso modelo de IA Mythos para encontrar vulnerabilidades em seus próprios produtos. A Palo Alto Networks começou a testar o Mythos em abril. Desde então, a empresa continua utilizando esse modelo de IA, bem como outros produtos, incluindo o Claude Opus 4.7 e o OpenAI GPT-5.5-Cyber. Os modelos de IA analisaram 130 produtos e serviços da Palo Alto Networks e, como mencionado, identificaram 75 vulnerabilidades. A empresa corrigiu todas as vulnerabilidades antes que fossem descobertas por atacantes.A Palo Alto Networks expressou seu compromisso em corrigir todas as vulnerabilidades descobertas antes que sejam solucionadas.Algoritmos avançados de IA se tornarão amplamente disponíveis e facilmente exploráveis por atacantes. A empresa estima que as organizações tenham uma janela de 3 a 5 meses antes que as explorações baseadas em IA se tornem a norma.