O começo da história foi uma auditoria de segurança. Zcash é uma rede de privacidade antiga, que usa provas de conhecimento zero para proteger informações de transações, e Orchard é o núcleo dessa capacidade de transações privadas.

Em 29 de maio, o pesquisador de segurança Taylor Hornby, durante uma auditoria de protocolo encomendada pela Shielded Labs, descobriu uma vulnerabilidade grave no Orchard, que permite que atacantes criem tokens do nada, ou seja, uma "emissão infinita".

Zcash então realizou uma atualização de emergência em poucos dias, confirmando a existência da vulnerabilidade, mas sem poder confirmar se alguém já a havia explorado para emitir tokens. Após a declaração oficial de 5 de junho, o preço do Zcash caiu 50%.

O Opus 4.8 da Anthropic foi lançado em 28 de maio, e no dia seguinte, essa vulnerabilidade foi descoberta.

Não é Mythos, é Opus

O incidente do Zcash é assustador, não porque a IA seja forte, mas porque ela foi forte demais dessa vez, de uma forma muito comum.

Antes disso, o que realmente assustava a indústria de segurança era o Claude Mythos Preview da Anthropic. Em abril de 2026, a Anthropic divulgou uma avaliação de capacidades de segurança cibernética, dizendo que o Mythos Preview podia identificar e explorar vulnerabilidades zero-day em sistemas operacionais e navegadores mainstream durante testes, algumas delas muito escondidas, com mais de uma década de existência, incluindo um bug do OpenBSD que remonta a 27 anos atrás.

A avaliação também dizia que um engenheiro sem background em segurança poderia fazer o Mythos Preview trabalhar a noite toda procurando por vulnerabilidades de execução remota de código, e ao acordar, teria uma cadeia completa de ataques pronta para uso.

Isso significa que uma habilidade que antes só poucos podiam dominar a longo prazo, está se tornando um serviço acessível a qualquer um a qualquer momento. Essa capacidade, por si só, não tem posição, a diferença está em quem a usa e para quê.

A própria Anthropic também entende isso. Por isso criou o Project Glasswing, que inicialmente entregou o Mythos Preview a algumas organizações para trabalhos defensivos de segurança. Eles também reconhecem que esse nível de modelo precisa de proteção mais forte e restrições de uso mais rígidas antes de ser aberto a todos.

Porém, no caso do Zcash, os técnicos não usaram o Mythos ainda bloqueado, mas sim o Opus 4.8, já lançado, disponível e integrado ao fluxo de trabalho comum.

A entrada da IA na segurança permite que pequenas equipes tenham a capacidade de auditoria de grandes times. Ela ajuda os mantenedores a encontrarem bugs mais rapidamente, mas também permite que atacantes entendam sistemas com maior rapidez.

E o mais perigoso talvez não seja o modelo mais forte, mas aquele que é suficientemente forte, barato e comum.

Quanto mais comum for o modelo, mais pessoas poderão usá-lo. Assim, a questão não é mais se a IA consegue encontrar vulnerabilidades, mas: quando todo mundo consegue, o que acontecerá?

Quando encontrar bugs vira uma atividade de massa

Depois que a IA barateou a descoberta de vulnerabilidades, surgirão duas coisas.

Uma é falsa, uma grande quantidade de relatórios de segurança que parecem legítimos, mas na verdade não resistem à verificação. A outra é verdadeira, vulnerabilidades que antes estavam escondidas no sistema, que levavam semanas ou meses para serem descobertas por especialistas, agora começam a ser reveladas mais rapidamente.

A primeira vai sobrecarregar os mantenedores, a segunda pode derrubar sistemas. E o pior é que elas podem chegar ao mesmo tempo.

A segurança cibernética sempre teve uma narrativa ideal: hackers éticos descobrem vulnerabilidades, divulgam de forma responsável, fabricantes corrigem, usuários se beneficiam.

Por muito tempo, o mundo realmente funcionou assim. Mas quando a IA abaixa a barreira para "descobrir vulnerabilidades", e qualquer pessoa pode usar modelos públicos para procurar bugs, o que entra é uma enxurrada de pessoas querendo ganhar recompensas ou ganhar reputação. Muitos apenas copiam uma dica e deixam o modelo gerar um relatório que parece legítimo. Pode não ser verdadeiro.

Mas, seja verdadeiro ou falso, os mantenedores precisam levar a sério.

A OpenSSF realizou, em fevereiro de 2026, uma discussão sobre "relatórios de lixo de IA", estudando como os mantenedores de código aberto devem lidar com relatórios de vulnerabilidades de baixa qualidade, gerados por IA. O curl, por exemplo, relatou que, até meados de 2025, apenas cerca de 5% das recompensas eram por vulnerabilidades reais, e cerca de 20% pareciam conteúdo de baixa qualidade gerado por IA. A OpenSSF disse que esses relatórios são como ataques DDoS, só que direcionados à atenção das pessoas.

Mantenedores de código aberto não são centros de atendimento ao cliente. Muitos deles não têm salário, equipe de segurança ou escalas de plantão. Grandes empresas podem pagar por esses recursos, mas uma vez que algo acontece, elas voltam a cobrar dos mantenedores por que não corrigiram antes.

O curl acabou cancelando seu programa de recompensas por vulnerabilidades porque as pessoas não aguentavam mais. Relatórios de segurança eram uma parte da defesa, mas quando ela é tomada por lixo, ela acaba consumindo quem está na linha de frente.

A IA dá a mais pessoas a capacidade de enviar relatórios de vulnerabilidades, mas não dá a mais pessoas a capacidade de julgar se uma vulnerabilidade é real. Gerar um relatório com um modelo não é o mesmo que entender seu conteúdo; rodar um código de validação não garante que você saiba o impacto real.

E o mais assustador é que já estamos vivendo em um mundo onde a IA pode encontrar inúmeras vulnerabilidades.

Nossa paz passada era por sorte

A maior ilusão da internet é que tudo que funciona é confiável.

Você paga pelo celular, escaneia QR code, faz pagamento, recebe o dinheiro; tudo em poucos segundos. Você não pensa em quantas regras de risco, impressões digitais de dispositivos, reconhecimento de comportamento, combate ao crime digital, respostas a vulnerabilidades e planos de contingência estão por trás disso tudo.

Em maio de 2026, o AntSRC (Centro de Resposta a Incidentes de Segurança da Ant Group) realizou uma campanha de recompensas chamada "Operação Caçador", cobrindo produtos como Alipay, Huabei, Jiebei, Ant Fortune, MyBank, Digital Science e Ant International. Para vulnerabilidades de alto risco e gravidade em transações de pagamento, fundos e faturas, as recompensas podiam chegar a cinco vezes, até 71.500 yuans.

Grandes empresas também sabem que não podem confiar apenas na equipe interna para descobrir todos os problemas, por isso envolvem organizações externas de hackers éticos no processo formal. A segurança é como uma longa cadeia de colaboração: alguém descobre um ataque, alguém verifica, classifica, corrige, publica, e há quem monitore para evitar que usuários normais sejam afetados. Se qualquer elo se romper, toda a cadeia falha.

No relatório de postura de segurança da Alibaba Cloud, de outubro de 2025, foi mencionado que a plataforma de nuvem defende, em média, 6,245 bilhões de ataques por dia, bloqueando 27.500 IPs maliciosos; naquele mês, detectou e interceptou 102.800 ataques DDoS, com pico de 2,1 Tbps.

Nosso "navegar normal" na internet é, na verdade, uma estreita passagem que os engenheiros de segurança conseguem abrir para nós, extraindo de uma quantidade enorme de anomalias. A internet nunca foi um ambiente silencioso.

Mantenedores de código aberto não têm orçamento, escalas ou equipes de resposta; grandes empresas podem pagar por isso. Mas mesmo assim, dependem de uma longa cadeia de colaboração humana, que mantém as anomalias sob controle para que os usuários comuns nem percebam.

E essa cadeia, longa e frágil, já operava na sua capacidade máxima antes mesmo da IA entrar em cena em grande escala. Agora, com o aumento exponencial de vulnerabilidades e relatórios, será que há pessoas suficientes na linha de defesa?

Quem conserta as vulnerabilidades depois que elas são encontradas?

O relatório de talentos em segurança cibernética da ISC2, de 2024, estima que há cerca de 5,5 milhões de profissionais de segurança no mundo, com uma lacuna de 4,8 milhões, crescendo 19% ao ano. Eles explicam que essa "lacuna" não é só a quantidade de vagas, mas a diferença entre o que as organizações acham que precisam e o que realmente há de disponível.

Esses números indicam claramente: há muitas vulnerabilidades, e faltam pessoas.

E não é só quantidade, mas também capacidade: faltam profissionais capazes de lidar com tarefas complexas. A ISC2 também revelou que 67% dos entrevistados dizem que suas organizações têm escassez de profissionais de segurança, e 58% veem esse déficit como um risco significativo. 31% afirmam que suas equipes não têm funcionários de nível iniciante, e 15% não têm profissionais com 1 a 3 anos de experiência. Muitas organizações não só têm falta de pessoas, mas também de canais para formar a próxima geração.

Isso é mais difícil do que simplesmente não encontrar pessoas. Não encontrar hoje é um problema imediato; não ter funcionários de nível iniciante é um problema futuro, pois eles não serão formados.

No Brasil, o "Relatório de Desenvolvimento de Talentos na Indústria de Segurança Cibernética na Era da IA" aponta que, em 2025, 46,2% dos profissionais entrevistados ganhavam entre 200 mil e 300 mil reais por ano antes de impostos. O mercado valoriza talentos intermediários, pois quem consegue lidar com ameaças complexas e tomar decisões durante incidentes é extremamente escasso. O relatório também mostra que 56,5% dos profissionais dizem que a IA os ajudou a focar mais na análise de ameaças complexas, e 33% estão mudando de execução para estratégia.

Isso é crucial.

O que mais precisamos agora são pessoas capazes de entender uma vulnerabilidade à meia-noite, avaliar seu impacto, coordenar com outros setores, e escrever patches. Segurança nunca foi uma profissão de lampejo de inspiração; é trabalho pesado. Dividir "segurança de rede" é lidar com falsos positivos, culpar alguém, aplicar patches intermináveis, participar de reuniões intermináveis, e atender ligações às três da manhã.

A bactéria da peste nunca desapareceu

Camus escreveu um romance chamado "A Peste".

A história se passa em uma pequena cidade do Norte da África. Uma epidemia de peste surge de repente, as portas da cidade se fecham, todos ficam presos lá dentro. A rotina diária se desintegra de um dia para o outro. Primeiro, as pessoas entram em pânico, depois ficam apáticas, até que se acostumam. Quando a peste finalmente recua e as portas se abrem novamente, as ruas voltam a ter risos e alegria.

Camus termina dizendo: "Segundo os registros médicos, a bactéria da peste nunca morre completamente, nem desaparece; ela pode sobreviver por décadas em móveis, roupas, cobertores; pacientemente espera em quartos, porões, malas, lenços e papel velho. Talvez um dia, a peste desperte novamente seu exército de ratos, enterrando-os em alguma cidade feliz, fazendo as pessoas sofrerem novamente, e ensinando uma nova lição."

Sempre achei que essa frase é perfeita para descrever vulnerabilidades na internet.

Elas não nascem no dia em que são descobertas. Já estão no código há muito tempo, ninguém ouve sua respiração, e por isso confundimos silêncio com segurança.

Estamos tão acostumados à rotina de não duvidar que tudo funciona, que tudo está no código. Há dívidas antigas, que não precisam ser pagas porque há poucos cobradores. Com a IA, de repente, esses cobradores aparecem em grande quantidade.

O mais assustador não é só o aumento de hackers. Do outro lado do sistema, quem resolve os problemas não aumentou na mesma proporção.

Essa é a maior luta na era da segurança com IA. A capacidade se espalha sozinha, a responsabilidade não; encontrar uma vulnerabilidade fica cada vez mais barato, consertá-la ainda é caro como antes. A destruição pode ser copiada por scripts infinitamente, mas a confiança só pode ser reconstruída lentamente, sistema por sistema, equipe por equipe.

A IA não destruirá a internet de um dia para o outro. Ela é mais como acender uma luz. Finalmente vemos que a vida digital nunca foi uma ordem natural de funcionamento automático, mas um esforço contínuo de pessoas que reduzem riscos ao ponto de nem percebermos.

No futuro, o que realmente custará caro não será encontrar vulnerabilidades, mas ter pessoas suficientes dispostas a consertá-las uma a uma.

ZEC7,07%

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

2 Curtidas