Já tive alguma versão da mesma conversa dezenas de vezes desde que Mythos e Daybreak surgiram. Os CISOs querem saber até que ponto deveriam estar preocupados. A minha resposta honesta: menos do que as manchetes sugerem e mais do que a maioria dos programas está actualmente preparada.
No ano passado, foram divulgadas cerca de 50 mil vulnerabilidades de software. A Recorded Future rastreou 446 que eram na verdade armado por atores de ameaças. Isso é menos de 1%. O problema nunca foi encontrar vulnerabilidades. Era sempre saber quais deles os adversários realmente usariam.
A IA torna essa distinção mais difícil. A descoberta acelera para todos, o ruído cresce mais rápido do que qualquer equipe consegue fazer a triagem manualmente e a janela entre uma vulnerabilidade divulgada e uma exploração funcional continua diminuindo. Os líderes de segurança que criaram programas baseados em inteligência estão prontos para o que está por vir. Para eles, Mythos não é uma crise. É o momento em que o programa deles finalmente recebe a atenção que merece, inclusive na sala de reuniões.
A ameaça ficou mais rápida. Os fundamentos não.
O instinto de tratar a descoberta de vulnerabilidades assistida por IA como uma transformação total do cenário de ameaças não é totalmente correto, e essa imprecisão irá prejudicá-lo em uma conversa no conselho.
O que mudou foi a velocidade. A IA reduziu o tempo entre uma vulnerabilidade divulgada e uma exploração funcional de dias para minutos. Sua equipe tem que acompanhar esse ritmo.
O que não mudou foi o problema fundamental de priorização. As vulnerabilidades divulgadas quase duplicaram nos últimos cinco anos, de cerca de 21.000 em 2021 para aproximadamente 50.000 em 2025. Esse crescimento aconteceu antes da descoberta assistida por IA se tornar amplamente acessível. A IA torna esse desafio mais rápido e com mais consequências. Isso não o torna novo.
Essa distinção é importante porque muda a conversa de “precisamos de reconstruir completamente o nosso programa de segurança” para “precisamos de ter a certeza de que a nossa capacidade de inteligência está a funcionar à velocidade que o ambiente de ameaças exige agora”. A primeira conversa é cara e desestabilizadora. O segundo é acionável.
A maioria dos programas tem um problema de triagem, não um problema de descoberta
Quando um modelo de IA retorna centenas de novas descobertas de vulnerabilidade, o gargalo muda imediatamente para a priorização. Na maioria das organizações, esse processo ainda é em grande parte manual. Os analistas pesquisam cada descoberta, avaliam a gravidade, cruzam as orientações existentes e tentam sequenciar uma resposta. Com o volume e a velocidade produzidos por esses modelos, esse fluxo de trabalho não consegue acompanhar o ritmo.
O resultado é um acúmulo em que exposições genuinamente críticas ficam lado a lado com ruídos e as decisões de triagem são tomadas sem o contexto necessário para acertá-las. Isso não é um problema de ferramentas. É um problema de inteligência.
As organizações que lidam bem com isso construíram uma camada entre a descoberta e a ação que correlaciona automaticamente cada descoberta com a atividade adversária do mundo real, sinaliza vulnerabilidades vinculadas a campanhas ativas e informa ao analista o que isso significa e o que fazer a respeito, e não apenas o que foi encontrado. A descoberta bruta indica que você tem um problema. A resposta orientada pela inteligência informa qual deles deve ser resolvido primeiro e depois o persegue de forma autônoma na velocidade da máquina.
Há uma segunda exposição que vale a pena nomear e que pode produzir uma conversa desconfortável no conselho. A maior parte do investimento em segurança empresarial concentra-se no que entra no ambiente e no que é executado no endpoint. A descoberta assistida por IA revela uma categoria diferente de risco: exposições que já existem dentro do ambiente, em software em execução na sua infraestrutura hoje, em componentes de terceiros que não foram totalmente inventariados, em sistemas de fornecedores conectados ao seu de maneiras que não estão totalmente mapeadas.
As organizações que concentraram a sua postura no limite podem descobrir que algumas das suas vulnerabilidades mais importantes estão noutro lugar. Essa é uma resposta difícil de dar a um fórum que acabou de ler sobre Mythos. É melhor revelar você mesmo do que pedir que outra pessoa revele para você.
Os programas que não entraram em pânico tinham algo em comum
Os CISOs com quem converso, que vêm construindo programas baseados em inteligência há anos, lidaram com o Mythos de maneira diferente das organizações que não o fizeram. Eles não precisaram reconstruir nada do zero. Eles aproveitaram o momento para aprimorar programas nos quais já vinham investindo.
Mas nem todas as organizações já estavam lá quando o Mythos foi anunciado, e essa é a história mais importante para a maioria dos líderes de segurança que estão lendo isto. O anúncio foi uma função de forçamento. As organizações que o trataram como tal já estão numa posição diferente daquelas que não o fizeram.
Um cliente de serviços financeiros que nos procurou logo após o anúncio da Mythos é um bom exemplo do que uma mudança rápida realmente produz. Eles reconstruíram seu fluxo de trabalho de vulnerabilidade em torno de nossa capacidade de automação e, em duas semanas, sua equipe recuperou mais de 20 horas por semana que antes haviam passado por triagem manual e pesquisa. Essas não são horas economizadas em trabalho árduo. Agora estão horas indo para um trabalho que realmente reduz a exposição. E quando a próxima onda chegar, eles não serão pegos de surpresa.
O que tornou isso possível não foram apenas melhores ferramentas. Era uma camada de inteligência que combinava automaticamente vulnerabilidades com atores de ameaças conhecidos, vinculava as descobertas a campanhas ativas quando relevante e pontuava com base em evidências de exploração no mundo real, em vez de gravidade teórica. Cada descoberta chega com o contexto que um analista precisa para agir, sem horas de pesquisa manual entre o sinal e uma resposta.
O resultado prático é uma cobertura em escala sem aumentar proporcionalmente a equipe. Isso é o que significa operar na velocidade da máquina na prática, e isso pode ser válido em uma conversa de diretoria por um motivo simples: não é apenas uma resposta de segurança, é uma resposta de negócios.
O que ganha a conversa do conselho
Os conselhos estão perguntando sobre a descoberta de vulnerabilidades baseada em IA porque ela está incluída na cobertura geral de uma forma que a maioria dos desenvolvimentos de ameaças não o fez. Essa atenção não vai desaparecer. Os líderes de segurança que conseguirem entrar nessa conversa com uma resposta clara e específica sobre como estão gerenciando o risco sairão com mais credibilidade e mais autoridade em recursos.
Mythos e Daybreak são o início de uma tendência mais longa. A resposta certa não é tratar cada novo modelo como uma nova crise. É construir a base de inteligência que torna o seu programa resiliente, independentemente do que vier a seguir. Quando você fizer isso, a descoberta assistida por IA deixa de ser uma fonte de ansiedade e se torna o que deveria ser: um caminho mais rápido para encontrar e consertar o que realmente importa.
Pronto para aprofundar a resposta operacional? O diretor de produtos da Recorded Future, Jamie Zajac, apresenta o manual completo aqui.
