Claude Opus descobre uma falha de 4,5 bilhões de dólares, refletindo sobre a queda do Zcash

Um investigador de segurança usando o modelo Opus 4.8 da Anthropic ajudou a descobrir uma vulnerabilidade grave no protocolo Orchard do Zcash, AI está a remodelar o panorama da cibersegurança.
(Resumindo: A Anthropic lançou o seu mais recente modelo Claude Opus 4.8! O Code do Claude foi atualizado com “Workflows Dinâmicos”, permitindo que uma pessoa substitua uma equipa de cem)
(Complemento: Anthropic open-sources o fluxo de trabalho de cibersegurança AI: sete fases automáticas de deteção de vulnerabilidades, validação e geração de patches)

Índice deste artigo

Alternar

• Queda do Zcash: AI descobre vulnerabilidade de 45 mil milhões de dólares
• Mythos congelado: Anthropic bloqueia o modelo mais potente
• Relatório de compras em massa: IA gera lixo que sobrecarrega os mantenedores
• Colapso de vulnerabilidade: Heartbleed escondido há dois anos e meio
• Descoberta mais barata: custos de ataque a diminuir ao mesmo tempo
• Lacuna de talentos de 4,8 milhões: crise no setor de segurança

Alguém usou o Claude Opus 4.8 para descobrir um bug que fez a capitalização de mercado de uma criptomoeda evaporar 45 mil milhões de dólares. O evento começou com uma auditoria de segurança. O Zcash é uma rede de privacidade antiga, que usa provas de conhecimento zero para proteger informações de transações, sendo o Orchard o núcleo dessa capacidade de transação privada.

Em 29 de maio, o investigador de segurança Taylor Hornby, numa auditoria de protocolo encomendada pela Shielded Labs, descobriu uma vulnerabilidade grave no Orchard, que permitia a um atacante criar tokens do nada, ou seja, “emissão ilimitada”.

O Zcash realizou uma atualização de emergência nos dias seguintes, confirmando a existência da vulnerabilidade, mas sem saber se alguém já a tinha explorado para emitir tokens. Após o anúncio oficial em 5 de junho, o valor do Zcash caiu 50%.

O Opus 4.8 da Anthropic foi lançado a 28 de maio, e no dia seguinte, essa vulnerabilidade foi descoberta.

Este incidente no Zcash é assustador, não porque a IA seja forte, mas porque desta vez ela foi demasiado comum.

Antes disso, a verdadeira preocupação na indústria de segurança era o antecessor Mythos Preview da Anthropic. Em abril de 2026, a Anthropic divulgou uma avaliação de capacidades de cibersegurança, dizendo que o Mythos Preview conseguia identificar e explorar vulnerabilidades zero-day em sistemas operativos e browsers mainstream, algumas escondidas há mais de uma década, incluindo um bug do OpenBSD que remonta a 27 anos atrás.

A avaliação também dizia que um engenheiro sem background em segurança poderia deixar o Mythos Preview rodar a noite toda à procura de vulnerabilidades de execução remota de código, e na manhã seguinte teria um conjunto completo de exploits prontos a usar.

Queda do Zcash: IA descobre vulnerabilidade de 45 mil milhões de dólares

Isto significa que uma capacidade que antes só alguns dominavam a longo prazo, está a tornar-se um serviço acessível a qualquer um. Essa capacidade, por si só, não tem posição; a diferença está em quem a usa e para quê.

A própria Anthropic entende isso. Por isso criou o Project Glasswing, que inicialmente disponibilizou o Mythos Preview a uma pequena elite, para tarefas defensivas de segurança. Admitiram também que modelos desse nível precisam de proteções mais fortes e restrições de uso mais rígidas antes de serem abertos ao público.

No caso do Zcash, os técnicos não usaram o Mythos ainda bloqueado, mas sim o Opus 4.8, já lançado, disponível e integrado no fluxo de trabalho comum.

A entrada da IA na segurança permite que pequenas equipas tenham capacidades de auditoria de grandes grupos. Ela acelera a deteção de bugs pelos mantenedores, mas também permite que atacantes entendam sistemas mais rapidamente.

E o mais perigoso nem é o modelo mais forte, mas aquele que é suficientemente forte, barato e comum.

Quanto mais comum for o modelo, mais pessoas podem usá-lo. Assim, o problema deixa de ser se a IA consegue ou não encontrar vulnerabilidades, e passa a ser: o que acontece quando todos podem procurar?

Depois de a IA tornar a deteção de vulnerabilidades mais barata, surgem duas coisas.

Uma é falsa, uma quantidade massiva de relatórios de segurança que parecem legítimos, mas não passam na validação. A outra é verdadeira, vulnerabilidades que antes estavam escondidas no sistema, que levavam semanas ou meses a serem descobertas, agora podem ser rapidamente reveladas.

Mythos congelado: Anthropic bloqueia o modelo mais potente

A primeira inundará os mantenedores, a segunda poderá destruir sistemas. E o pior é que podem chegar ambas ao mesmo tempo.

A narrativa ideal na cibersegurança era: hackers éticos descobrem vulnerabilidades, divulgam de forma responsável, as empresas corrigem, os utilizadores beneficiam.

No passado, muitas vezes, essa narrativa funcionou. Mas quando a IA baixa a barreira para descobrir vulnerabilidades, e qualquer um pode usar modelos públicos para procurar bugs, entram muitos que querem ganhar prémios ou reputação. Muitos apenas copiam prompts e geram relatórios que parecem legítimos, mas podem não ser.

Seja qual for a veracidade, os mantenedores têm de tratar tudo a sério.

Em fevereiro de 2026, a OpenSSF realizou uma discussão sobre “Relatórios de vulnerabilidades de lixo gerados por IA”, estudando como os mantenedores de código aberto devem lidar com relatórios de baixa qualidade, muitas vezes gerados por IA. A curl relatou que, até meados de 2025, apenas cerca de 5% das recompensas eram por vulnerabilidades reais, e cerca de 20% pareciam conteúdo de baixa qualidade gerado por IA. A OpenSSF comparou esses relatórios a ataques DDoS, que visam sobrecarregar a atenção humana.

Mantenedores de código aberto não são centros de suporte ao cliente. Muitos não têm salários, equipas de segurança ou turnos. Grandes empresas podem comprar esses recursos, mas muitas vezes dependem de uma longa cadeia de colaboração humana para manter a segurança, e essa cadeia já está sobrecarregada antes mesmo de a IA entrar em cena. Agora, com o aumento exponencial de vulnerabilidades e relatórios, será que os responsáveis conseguem acompanhar?

O ISC2 estima que, em 2024, há cerca de 5,5 milhões de profissionais de segurança na área, com uma lacuna de 4,8 milhões, crescendo 19% ao ano. Essa lacuna não é só de vagas abertas, mas de profissionais suficientes para proteger as organizações.

Este número é simples: há muitas vulnerabilidades, e poucos profissionais.

E não é só uma questão de quantidade, mas de capacidade de fazer trabalhos complexos. O ISC2 também revelou que 67% dos entrevistados dizem que há uma escassez de profissionais de segurança, e 58% acreditam que essa falta aumenta riscos. 31% afirmam que suas equipas não têm funcionários de nível básico, e 15% não têm jovens com 1-3 anos de experiência. Muitas organizações não só têm falta de pessoas, como também de canais para formar a próxima geração.

Lacuna de talentos de 4,8 milhões: crise no setor de segurança

Isso é mais do que uma dificuldade de contratação. É uma questão de que, mesmo que contratem agora, não terão quem faça trabalhos mais avançados no futuro.

O relatório do setor de segurança cibernética na China para a era da IA indica que, em 2025, 46,2% dos profissionais ganham entre 20 e 30 mil yuan por ano. As empresas estão dispostas a pagar por talentos intermediários, pois quem consegue lidar com ameaças complexas e tomar decisões durante incidentes é extremamente escasso. O relatório também mostra que 56,5% dos profissionais dizem que a IA lhes permite focar na análise de ameaças complexas, e 33% estão a passar de tarefas operacionais para estratégias.

Isto é crucial.

O que mais precisamos agora são pessoas capazes de entender uma vulnerabilidade à noite, avaliar o impacto, coordenar com outros departamentos e criar patches. Segurança nunca foi uma profissão de insights súbitos, mas de trabalho árduo. Dividir “segurança de rede” em partes, revela uma rotina de falsos alarmes, culpas, patches intermináveis, reuniões sem fim, e chamadas às três da manhã.

Camus escreveu um romance chamado “A Peste”.

A história passa numa cidade do Norte de África. Uma peste surge de repente, as portas fecham-se, todos ficam presos. A rotina desmorona de um dia para o outro. Primeiro há pânico, depois apatia, até que se habituam. Quando a peste desaparece e as portas reabrem, a cidade volta a encher-se de alegria.

Camus termina dizendo: “Segundo os livros de medicina, a peste nunca morre completamente, nem desaparece; ela pode sobreviver por décadas em móveis, roupas, cobertores; espera pacientemente em quartos, porões, malas, lenços e papel usado. Talvez um dia, a peste volte a despertar, levando o seu exército de ratos para uma cidade feliz, fazendo as pessoas sofrerem novamente, e aprendendo a lição.”

Sempre achei que essa frase descreve bem as vulnerabilidades na internet.

Elas não nascem no dia em que são descobertas. Já estão no código há muito tempo, a dormir, sem que ninguém ouvisse sua respiração. Assim, acabamos por confundir silêncio com segurança.

Estamos tão habituados à rotina de não duvidar, que tudo funciona no código. Há dívidas antigas, que não se pagam porque há poucos que as cobrem. Com a IA, esses cobradores multiplicaram-se de repente.

E o mais assustador não é só o aumento de hackers. É que, do outro lado do sistema, quem resolve os problemas não aumentou na mesma proporção.

Essa é a maior luta na era da segurança com IA. A capacidade de descobrir se espalha por aí, a responsabilidade não. Encontrar uma vulnerabilidade fica cada vez mais barato, consertá-la continua caro. O destruidor pode copiar o código infinitas vezes, mas a confiança só se reconstrói lentamente, sistema a sistema, equipa a equipa.

A IA não vai destruir a internet de um dia para o outro. Ela faz mais do que isso: acende a luz. Finalmente percebemos que a vida digital nunca foi uma ordem natural de funcionamento automático, mas um esforço contínuo de pessoas a manter o risco sob controle, dia após dia.

O que será realmente caro no futuro não será descobrir vulnerabilidades, mas ter pessoas suficientes para consertá-las uma a uma.