🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Durante trinta anos, o gerenciamento de vulnerabilidades funcionou em um buffer: os meses entre o momento em que uma vulnerabilidade foi encontrada e o momento em que alguém conseguiu descobrir como transformá-la em uma arma. A solução foi bastante simples; faça a triagem por gravidade, agende a correção, valide e siga em frente. O buffer foi o que fez isso funcionar.
Hoje, esse buffer desapareceu.
A IA não tornou sua equipe mais lenta. Mudou o outro lado da equação, comprimindo a descoberta à exploração de meses para horas. E a triste verdade para os defensores é que um processo construído para respirar não pode sobreviver sem ele.
IA transformou a descoberta de vulnerabilidades em um jogo de volume
Em sua atualização de maio de 2026, a Anthropic relatou que ela e aproximadamente 50 parceiros usaram o Claude Mythos Preview para encontrar mais de 10.000 vulnerabilidades de gravidade alta ou crítica em software sistemicamente importante em um único mês.
Os números anteriores eram igualmente nítidos.
Apontado para o Firefox, o modelo fechado do Mythos escreveu 181 explorações funcionais, contra apenas 2 do modelo de fronteira anterior. Ele revelou vulnerabilidades em todos os principais sistemas operacionais e navegadores, incluindo um bug do OpenBSD que permaneceu sem ser detectado por 27 anos.
No momento em que este artigo foi escrito, mais de 99% do que foi encontrado ainda não estava corrigido.
Figura 1. Fevereiro de 2026, campanha FortiGate
Um relatório de inteligência de ameaças da AWS de fevereiro de 2026 mostra o outro lado: não é necessário nenhum dia zero, apenas credenciais fracas, industrializadas por meio de um servidor MCP personalizado que executa ferramentas ofensivas de forma autônoma. AWS confirmou mais de 600 dispositivos em mais de 55 países; os registros do ator, de acordo com pesquisadores independentes, enfileiraram 2.516 dispositivos em 106 países.
De qualquer forma, as regras mudaram claramente. O que antes exigia um conhecimento raro agora funciona em velocidade e escala de máquina.
A janela de armamento de vulnerabilidade também entrou em colapso
Os defensores costumavam ter meses entre a abertura de capital de um CVE e sua primeira exploração confirmada na natureza, a janela conhecida como tempo de exploração (TTE).
Essa janela se fechou.
O Relógio de Dia Zero coloca a média de 2026 em aproximadamente 24 horas, abaixo dos ~53 dias em 2024.
Figura 2. Tempo médio de exploração (TTE) por Zero Day Clock
Os dados da violação também concordam.
O DBIR 2026 da Verizon vincula 32% das técnicas de acesso inicial à exploração de vulnerabilidades e espera que esse número suba, porque os assistentes de codificação de IA agora colocam a construção de explorações, a portabilidade de uma ferramenta para uma nova linguagem e a descoberta de novas falhas, todas ao alcance de invasores que nunca as tiveram antes.
Figura 3. Técnicas generativas assistidas por IA categorizadas como métodos de acesso inicial pelo DBIR 2026 da Verizon
Dizer às equipes para corrigirem mais rápido é como dizer a um cargueiro para frear rapidamente
A resposta reflexa da indústria é corrigir mais rapidamente. Os reguladores estão a codificá-lo: muitas regulamentações apontam agora para soluções no mesmo dia para algumas vulnerabilidades críticas. Os conselhos esperam isso. Os executivos exigem isso.
Mas a remediação não é uma mudança. Os patches eliminam os testes de regressão, aguardam janelas de mudança, precisam aguardar aprovações e respeitam o tempo de atividade existente e os compromissos de conformidade. Reduzir a produção para superar uma exploração acaba sendo apenas uma interrupção diferente.
E os dados mostram que tudo está caminhando na direção errada.
O Verizon 2026 DBIR rastreou mais de 13.000 organizações:
Tempo médio de correção para vulnerabilidades exploradas conhecidas: 43 dias, acima dos 32 do ano anterior
Quantidade que foi totalmente corrigida: caiu de 38% para 26%
Quando a infração ocorre em horas e a remediação em semanas, a violação quase sempre acontece no meio.
Mais uma vez, de acordo com o DBIR da Verizon, mesmo as organizações com melhor desempenho fecham apenas 30-40% das vulnerabilidades exploradas conhecidas na primeira semana após a detecção: uma taxa que quase não mudou, apesar de anos de investimento constante.
Portanto, ordenar que as equipes consertem mais rápido não muda a física, e é como ordenar que um cargueiro freie rapidamente.
O gargalo mudou. O mesmo deve acontecer com a estratégia.
Por duas décadas, o gerenciamento de vulnerabilidades funcionou com base em um conjunto organizado de suposições:
Encontre as falhas,
Pontue-os por gravidade,
Corrija o pior primeiro.
Quando algumas dezenas de críticos chegavam por trimestre, a triagem do CVSS funcionava. Infelizmente, não tem chance contra centenas ou milhares de revelações por dia.
Voltando ao DBIR da Verizon mais uma vez, a organização média teve que corrigir 16 vulnerabilidades exploradas conhecidas em 2025, contra 11 no ano anterior, um salto de quase 50%.
Isso foi antes das falhas descobertas pela IA começarem a inundar o catálogo.
Enquanto isso, as pontuações de gravidade não informam se uma falha pode ser alcançada em seu ambiente, se seus controles já a bloquearão ou se ela está vinculada a algo importante. Uma lista de gravidade onde tudo é "9" ou "10" essencialmente não prioriza nada.
Portanto, a pergunta útil deixa de ser “o que é vulnerável?” e se torna "o que é realmente explorável contra nós agora: e nossas defesas conseguiriam se alguém tentasse?"
Este é exatamente o
Hoje, esse buffer desapareceu.
A IA não tornou sua equipe mais lenta. Mudou o outro lado da equação, comprimindo a descoberta à exploração de meses para horas. E a triste verdade para os defensores é que um processo construído para respirar não pode sobreviver sem ele.
IA transformou a descoberta de vulnerabilidades em um jogo de volume
Em sua atualização de maio de 2026, a Anthropic relatou que ela e aproximadamente 50 parceiros usaram o Claude Mythos Preview para encontrar mais de 10.000 vulnerabilidades de gravidade alta ou crítica em software sistemicamente importante em um único mês.
Os números anteriores eram igualmente nítidos.
Apontado para o Firefox, o modelo fechado do Mythos escreveu 181 explorações funcionais, contra apenas 2 do modelo de fronteira anterior. Ele revelou vulnerabilidades em todos os principais sistemas operacionais e navegadores, incluindo um bug do OpenBSD que permaneceu sem ser detectado por 27 anos.
No momento em que este artigo foi escrito, mais de 99% do que foi encontrado ainda não estava corrigido.
Figura 1. Fevereiro de 2026, campanha FortiGate
Um relatório de inteligência de ameaças da AWS de fevereiro de 2026 mostra o outro lado: não é necessário nenhum dia zero, apenas credenciais fracas, industrializadas por meio de um servidor MCP personalizado que executa ferramentas ofensivas de forma autônoma. AWS confirmou mais de 600 dispositivos em mais de 55 países; os registros do ator, de acordo com pesquisadores independentes, enfileiraram 2.516 dispositivos em 106 países.
De qualquer forma, as regras mudaram claramente. O que antes exigia um conhecimento raro agora funciona em velocidade e escala de máquina.
A janela de armamento de vulnerabilidade também entrou em colapso
Os defensores costumavam ter meses entre a abertura de capital de um CVE e sua primeira exploração confirmada na natureza, a janela conhecida como tempo de exploração (TTE).
Essa janela se fechou.
O Relógio de Dia Zero coloca a média de 2026 em aproximadamente 24 horas, abaixo dos ~53 dias em 2024.
Figura 2. Tempo médio de exploração (TTE) por Zero Day Clock
Os dados da violação também concordam.
O DBIR 2026 da Verizon vincula 32% das técnicas de acesso inicial à exploração de vulnerabilidades e espera que esse número suba, porque os assistentes de codificação de IA agora colocam a construção de explorações, a portabilidade de uma ferramenta para uma nova linguagem e a descoberta de novas falhas, todas ao alcance de invasores que nunca as tiveram antes.
Figura 3. Técnicas generativas assistidas por IA categorizadas como métodos de acesso inicial pelo DBIR 2026 da Verizon
Dizer às equipes para corrigirem mais rápido é como dizer a um cargueiro para frear rapidamente
A resposta reflexa da indústria é corrigir mais rapidamente. Os reguladores estão a codificá-lo: muitas regulamentações apontam agora para soluções no mesmo dia para algumas vulnerabilidades críticas. Os conselhos esperam isso. Os executivos exigem isso.
Mas a remediação não é uma mudança. Os patches eliminam os testes de regressão, aguardam janelas de mudança, precisam aguardar aprovações e respeitam o tempo de atividade existente e os compromissos de conformidade. Reduzir a produção para superar uma exploração acaba sendo apenas uma interrupção diferente.
E os dados mostram que tudo está caminhando na direção errada.
O Verizon 2026 DBIR rastreou mais de 13.000 organizações:
Tempo médio de correção para vulnerabilidades exploradas conhecidas: 43 dias, acima dos 32 do ano anterior
Quantidade que foi totalmente corrigida: caiu de 38% para 26%
Quando a infração ocorre em horas e a remediação em semanas, a violação quase sempre acontece no meio.
Mais uma vez, de acordo com o DBIR da Verizon, mesmo as organizações com melhor desempenho fecham apenas 30-40% das vulnerabilidades exploradas conhecidas na primeira semana após a detecção: uma taxa que quase não mudou, apesar de anos de investimento constante.
Portanto, ordenar que as equipes consertem mais rápido não muda a física, e é como ordenar que um cargueiro freie rapidamente.
O gargalo mudou. O mesmo deve acontecer com a estratégia.
Por duas décadas, o gerenciamento de vulnerabilidades funcionou com base em um conjunto organizado de suposições:
Encontre as falhas,
Pontue-os por gravidade,
Corrija o pior primeiro.
Quando algumas dezenas de críticos chegavam por trimestre, a triagem do CVSS funcionava. Infelizmente, não tem chance contra centenas ou milhares de revelações por dia.
Voltando ao DBIR da Verizon mais uma vez, a organização média teve que corrigir 16 vulnerabilidades exploradas conhecidas em 2025, contra 11 no ano anterior, um salto de quase 50%.
Isso foi antes das falhas descobertas pela IA começarem a inundar o catálogo.
Enquanto isso, as pontuações de gravidade não informam se uma falha pode ser alcançada em seu ambiente, se seus controles já a bloquearão ou se ela está vinculada a algo importante. Uma lista de gravidade onde tudo é "9" ou "10" essencialmente não prioriza nada.
Portanto, a pergunta útil deixa de ser “o que é vulnerável?” e se torna "o que é realmente explorável contra nós agora: e nossas defesas conseguiriam se alguém tentasse?"
Este é exatamente o
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #gerenciamento #de #vulnerabilidades #de #quebra #de #ia. #é #por #isso #que #os #cisos #estão #transferindo #o #orçamento #para #o #bas.
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário