As capacidades de investigação e descoberta de vulnerabilidades da IA estão a melhorar, mas não mudaram os fundamentos da gestão de vulnerabilidades. Em vez disso, eles estão ampliando problemas familiares aos gerentes de vulnerabilidades: priorização de patches e atrasos de remediação.
Para os defensores, o prazo para determinar quais vulnerabilidades são mais importantes e remediá-las antes do início da exploração está se estreitando, mesmo que o volume geral de vulnerabilidades aumente. As organizações que dependem de priorização manual, ciclos lentos de patches ou software legado enfrentarão riscos operacionais e de segurança crescentes.
Figura 1: Realidade versus exagero da pesquisa automatizada de vulnerabilidades
A proporção de vulnerabilidade para exploração
Vulnerabilidades são falhas de software que os invasores podem usar para obter acesso, executar códigos maliciosos, aumentar privilégios ou interromper operações. No entanto, nem todos os bugs se tornam uma ameaça no mundo real: muitos são difíceis de alcançar, difíceis de transformar em armas ou simplesmente não valem o tempo de um invasor.
O número total de vulnerabilidades divulgadas aumentou acentuadamente nos últimos anos, passando de cerca de 21.000 em 2021 para quase 50.000 em 2025. Parte desse aumento provavelmente reflete práticas de divulgação mais fortes e atividades de recompensa de bugs, embora o crescimento do software, uma superfície de ataque mais ampla e relatórios mais sistemáticos também desempenhem um papel. No entanto, em 2025, o Recorded Future identificou apenas 446 vulnerabilidades que foram ativamente exploradas em estado selvagem, um lembrete de que as explorações confirmadas continuam a ser uma pequena fração do total de divulgações.
Figura 2: Comparação anual de CVEs divulgados com CVEs com explorações públicas e vulnerabilidades avaliadas como exploradas ativamente pelo Catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da Agência de Segurança Cibernética e Infraestrutura e Futuro Registrado, 2021-2025
Isso ocorre porque os invasores não exploram todos os bugs que encontram. Em vez disso, concentram-se no desenvolvimento de explorações para o pequeno subconjunto de vulnerabilidades que oferecem a melhor combinação de alcance, fiabilidade e retorno do investimento, tais como falhas que podem ser exploradas remotamente ou afetar software amplamente utilizado. Por outras palavras, uma vulnerabilidade ainda tem de ser validada, transformada numa exploração fiável, combinada com um alvo e integrada num caminho de ataque que valha o esforço.
Contudo, quando uma falha corresponde aos critérios, a exploração pode mova-se rapidamente. O VulnCheck descobriu que quase 29% dos KEVs em 2025 foram explorados antes ou durante a publicação do CVE, um ligeiro aumento em relação ao ano anterior, indicando a prevalência contínua de dias zero e dias n. Por mais que suas contrapartes legítimas usem IA no desenvolvimento de software, os adversários estão já usando IA para acelerar partes do fluxo de trabalho de ataque, incluindo pesquisa de vulnerabilidades, análise de caminhos de exploração e desenvolvimento de malware, mesmo que seja difícil quantificar seu efeito preciso nos cronogramas de exploração. Alguns rastreadores estimar que o tempo médio de exploração pode agora ser medido em horas em vez de dias, demonstrando a redução da janela de tempo para agir sobre uma vulnerabilidade de alto impacto.
Como a IA muda a equação
A Anthropic e a OpenAI recentemente chamaram atenção significativa por meio do lançamento limitado do que alegavam serem modelos de defesa cibernética excepcionalmente poderosos. Um independente avaliação do Mythos da Anthropic encontrou melhorias significativas em simulações de ataques cibernéticos em várias etapas. No entanto, a descoberta de vulnerabilidades e os testes de penetração assistidos por IA são anteriores a esses modelos, e a maioria dos modelos de fronteira tem já demonstrado a capacidade de identificar vulnerabilidades e auxiliar no desenvolvimento de explorações. Actualmente, estas ferramentas ainda são mais eficazes nas mãos de operadores capazes, em vez de permitirem uma exploração em grande escala e sem atritos e com poucas competências. Isto também é importante, pois mesmo que estas capacidades sejam utilizadas principalmente por investigadores de segurança no curto prazo, o aumento resultante em divulgações, provas de conceito e descobertas validadas ainda aumenta a carga defensiva.
Isso impacta o gerenciamento de vulnerabilidades de três maneiras importantes:
- Relatórios de vulnerabilidade mais confiáveis para triagem: Novos sistemas de agentes podem fazer mais do que sinalizar códigos suspeitos; eles podem raciocinar através do comportamento do programa, validar as descobertas e ajudar a identificar quais pontos fracos parecem mais exploráveis.
- Menos tempo para mitigar vulnerabilidades exploráveis: Os modelos de linguagem larga (LLMs) estão acelerando a velocidade e a escala da transformação em armas, o que significa que o caminho entre a divulgação e a exploração pode levar de horas a minutos.
- Reduziu o custo de desenvolvimento de exploits: Os modelos emergentes parecem mais capazes de produzir código de exploração de prova de conceito, testar caminhos de ataque e ajudar operadores qualificados a iterar em direção a explorações armamentáveis mais rapidamente do que antes.
Figura 3: A equação da vulnerabilidade: como os recursos automatizados provavelmente afetarão os relatórios, o desenvolvimento de explorações e o impacto
Mais relatórios, mais ruído
O uso de agentes de IA para código de software quase certamente aumentará o número de vulnerabilidades relatadas e provas de conceito desenvolvidas. O Patch Tuesday de abril de 2026 da Microsoft, que se seguiu ao anúncio do Projeto Glasswing da Anthropic, foi o segundo maior já registrado da empresa. No entanto, de acordo com Microsoft“não reflete um aumento significativo nas descobertas impulsionadas pela IA, embora [they] creditou uma vulnerabilidade a um pesquisador antrópico usando Claude.” A questão mais importante não é se serão encontradas mais falhas – porque serão – mas se os defensores podem processá-las, validá-las e priorizá-las com rapidez suficiente para agir.
Os envios de vulnerabilidades já estão sobrecarregando a capacidade dos pesquisadores de avaliar seu risco geral, criando um acúmulo de enriquecimento e pontuação de vulnerabilidades. Se a IA aumentar drasticamente o volume de descobertas plausíveis, os defensores enfrentarão ainda mais incerteza sobre quais vulnerabilidades representam o próximo evento sistémico de alto impacto e quais são ruído de fundo.
Menos tempo para agir
Para as vulnerabilidades que são realmente um problema, os defensores têm ainda menos tempo para responder. O desenvolvimento automatizado de explorações provavelmente encurtará o caminho desde a descoberta até a prova de conceito e, em alguns casos, até a armamento para o subconjunto de vulnerabilidades que vale a pena perseguir. Somando-se ao problema da triagem, algumas vulnerabilidades de gravidade média ou “não críticas” precisarão ser reavaliadas como possíveis componentes das cadeias de exploração, mesmo que normalmente não sejam classificadas como urgentes por si só.
Abafando os alarmes
Mesmo que os defensores enfrentem mais ruído, um volume maior de descobertas plausíveis relatadas provavelmente aumentará o número absoluto de explorações de alto impacto que eles precisam resolver rapidamente. Como resultado, os defensores enfrentam um desafio ainda maior na identificação do pequeno subconjunto de questões que mais importam antes dos atacantes.
Isso não significa que todas as falhas recentemente divulgadas serão transformadas em armas ou que eventos de alto impacto que “quebram a Internet” se tornarão comuns; no entanto, mesmo um aumento modesto nas vulnerabilidades exploradas coloca mais pressão na priorização, na velocidade de aplicação de patches e nos controles de compensação, especialmente para organizações que já enfrentam dificuldades com triagem manual, ciclos lentos de patches ou software legado.
Como usar a automação para o bem
Para a maioria das organizações, o risco imediato não é que todas as vulnerabilidades sejam subitamente exploradas, mas que os defensores tenham menos tempo para determinar quais descobertas são mais importantes. A descoberta de vulnerabilidades e a gestão da exposição devem, portanto, ser tratadas como problemas relacionados, mas distintos: a IA pode aumentar o número de descobertas, mas os defensores ainda precisam de contexto para determinar quais exposições são realmente alcançáveis, de alto impacto e que merecem remediação urgente.
Nesse ambiente, o uso da descoberta de vulnerabilidades, da priorização e da correção defensiva habilitada por IA será essencial para acompanhar o ritmo dos invasores. As cinco ações listadas na seção a seguir podem ajudar as organizações a se manterem à frente da ameaça.
1. Automatize a priorização e resposta a vulnerabilidades
Mude da pontuação apenas CVSS para a capacidade de exploração em tempo real e a pontuação de risco baseada na exposição para lidar com o aumento na descoberta de vulnerabilidades assistida por IA. Implemente varredura, validação e caça a ameaças automatizadas para identificar atividades de exploração rapidamente, especialmente em softwares amplamente utilizados e sistemas voltados para a Internet. O Grupo Insikt da Recorded Future reporta regularmente sobre novas vulnerabilidades e tendências de exploração e desenvolve modelos de Núcleos para detectar vulnerabilidades exploradas ativamente.
2. Acelere os ciclos de aplicação de patches e atualização
À medida que o tempo para explorar muda de dias para horas, o tempo para mitigar vulnerabilidades também diminuirá. O gerenciamento de patches precisará ser mais rápido, especialmente para sistemas voltados para a Internet, componentes de software amplamente utilizados e dependências críticas. A remediação automatizada e os controles de compensação automatizados provavelmente serão necessários para acompanhar o ritmo da descoberta acelerada por IA. O módulo de Inteligência de Vulnerabilidade na Plataforma de Operações de Inteligência Futuras Registradas pode ajudar na priorização com base na probabilidade de exploração. Garanta que todas as ações automatizadas sejam registradas e auditadas regularmente por um ser humano e exija um contato humano para quaisquer ações em sistemas de alto impacto.
3. Reduza a dependência de software legado e sem suporte
A IA pode tornar mais fácil para os agentes de ameaças identificar e validar pontos fracos exploráveis em bases de código mais antigas e com manutenção insuficiente. É provável que os sistemas não suportados e o software obsoleto se tornem cada vez mais difíceis de justificar, a menos que sejam fortemente isolados e rigorosamente controlados.
4. Mudança na detecção de vulnerabilidades no início do ciclo de vida do software
As organizações devem integrar testes automatizados de segurança e descoberta de vulnerabilidades assistida por IA em pipelines de desenvolvimento. A detecção precoce pode ajudar os defensores a corrigir vulnerabilidades antes da produção, reduzindo a carga de correção posteriormente.
5. Prepare-se para o próximo evento de alto impacto
Desenvolva manuais de resposta e mitigação de emergência especificamente para falhas de alto impacto e amplamente aplicáveis, incluindo cenários em que um patch não esteja imediatamente disponível. A preparação deve incluir não apenas patches, mas também medidas de contenção, como segmentação, restrições de acesso, filtragem de tráfego e outros controles compensatórios.
