logo_site
Whatsapp

Um manual do defensor para o aumento da vulnerabilidade da IA ​​em 2026

Principais conclusões

  • A descoberta foi comoditizada. Modelos de Frontier AI como Mythos e GPT 5.5 estão tornando a descoberta de vulnerabilidades barata, rápida e amplamente acessível.
  • O trabalho do defensor é igualar a velocidade. A triagem manual perdeu a corrida pelo rendimento.
  • A inteligência de ameaças é a camada de priorização na velocidade da máquina. A Recorded Future Intelligence observou apenas 446 CVEs explorados ativamente em 2025, contra aproximadamente 50.000 divulgados – menos de 1%.
  • O processamento agente da Recorded Future mais as operações autônomas de ameaças podem ser a resposta. Ele oferece assinaturas de detecção em cerca de 31 minutos e ação automatizada em mais de 100 integrações, com alcance de terceiros em breve. Os invasores estão operando nessa velocidade. Suas defesas têm que corresponder a elas.

Agora é uma pergunta que recebo diariamente: “O que a Recorded Future está fazendo em relação ao Mythos?”

É uma pergunta justa. O anúncio do Projeto Glasswing da Anthropic, combinado com os benchmarks de pesquisa de vulnerabilidades provenientes do GPT 5.5 da OpenAI, tornou a descoberta de vulnerabilidades orientada por IA um tópico de nível de conselho em questão de semanas.

Para responder a essa pergunta, primeiro precisamos discutir o problema operacional que os defensores realmente enfrentam e por que inteligência de ameaças pode ser a melhor maneira de combatê-lo na velocidade da máquina. Em seguida, veremos o que a Recorded Future já está implantando para resolvê-lo: nosso processamento de agente.

O problema: afogamento em sinal, falta de contexto

Mesmo antes da IA ​​e das notícias sobre as capacidades e velocidade do Mythos, os defensores estavam lutando. O volume do sinal estava ultrapassando a capacidade dos analistas. As lacunas de cobertura aumentavam diariamente à medida que fornecedores de cauda longa e plataformas de nicho não eram monitorados. As descobertas brutas chegaram sem causa raiz, relevância para o agente da ameaça ou caminhos de remediação verificados. Produzir um enriquecimento de nível de analista consumiu horas de um pesquisador sênior. A matemática não funcionou em escala empresarial.

A realidade: 50.000 divulgadas, 446 realmente exploradas

O dado que deve ancorar qualquer conversa sobre o aumento da vulnerabilidade da IA: o NVD divulgou aproximadamente 50.000 CVEs em 2025. A Inteligência Futura Registrada observou apenas 446 explorados ativamente na natureza — menos de 1%.

Encontrar vulnerabilidades é uma coisa, mas saber quais são importantes, para que ambientes, contra que adversários e quais os controlos de compensação já implementados é uma questão totalmente diferente. Forrester colocou isso diretamente: “O fator limitante da segurança não é mais a capacidade e o conhecimento para encontrar problemas – é a capacidade de absorvê-los, priorizá-los e agir sobre eles antes que os adversários o façam.” O gargalo sempre esteve no lado absorver-priorizar-agir. O lado da descoberta nunca foi o problema.

Os modelos Frontier AI aceleram o lado da descoberta. A inteligência contra ameaças é o que ajuda a preencher a lacuna de priorização no lado da correção.

O filtro de priorização: o que transforma 50 mil em 446

A inteligência de ameaças é operacional, não filosófica. Tudo se resume a quatro sinais que distinguem a pequena fração de CVEs que os adversários realmente utilizam como arma da esmagadora maioria que não o fazem. Esses quatro sinais não são negociáveis ​​para podermos chegar à priorização em velocidade e escala:

  1. Uma pontuação de risco ao vivo. Um índice composto de probabilidade e impacto de exploração, recalculado continuamente à medida que as evidências mudam. Não é uma classificação CVSS estática; uma medida real de quais vulnerabilidades podem ser transformadas em armas, exploráveis ​​em ambientes modernos e com probabilidade de serem detectadas por agentes de ameaças.
  2. Exploração ativa na natureza. Evidências de exploração observadas — não disponibilidade teórica de PoC, mas uso documentado em sistemas reais por atores reais. As fontes incluem telemetria da web aberta e escura, divulgações de fornecedores, recomendações governamentais (catálogo CISA KEV e equivalentes) e pesquisas primárias como as que o Insikt Group® produz.
  3. Associação de atores de ransomware. Mapeamento de CVEs para operadores de ransomware específicos e atividades de corretores de acesso. A mesma vulnerabilidade usada por um afiliado de ransomware com motivação financeira contra o seu setor é um incidente diferente do mesmo CVE em um kit de ferramentas de ator estatal direcionado a uma região diferente.
  4. Segmentação por setor e campanha. Quais agentes de ameaças têm como alvo seu setor, quais TTPs eles estão usando e quais exposições são mapeadas para ferramentas conhecidas.

Juntos, esses quatro sinais mostram como você prioriza o que realmente importa para qualquer defensor.

A resposta da Recorded Future: processamento de agentes mais operações autônomas de ameaças

Se os invasores estiverem se movendo na velocidade do Mythos, suas defesas precisarão acompanhar usando processamento de agentes e operações autônomas de ameaças. Esta é a minha resposta à pergunta que começamos sobre o que a Recorded Future está fazendo em relação ao novo mundo em que vivemos.

O processamento agentico é o sistema de produção que transforma sinais de exposição em inteligência implantável. O pipeline lê descrições, avisos de fornecedores e diferenças de patches no momento em que aparecem. Produz assinaturas de detecção prontas para produção – lógica de detecção documentada, especificação de evidências, estratégia passiva de impressão digital. Ele escreve enriquecimento de nível de analista para cada descoberta — causa raiz, mecânica de exploração, associações de atores de ameaças, controles defensivos priorizados com tempo de implantação e estimativas de falsos positivos, tarefas de remediação validadas com critérios de aceitação e planos de reversão.

Sua meta ponta a ponta: identificação até implantação nos ambientes do cliente em aproximadamente 31 minutos. As médias internas são mais baixas. Nenhuma equipe de segurança que opera fluxos de trabalho de triagem manual corresponde a esse rendimento.

Esse conteúdo pode alcançar todos os pontos de controle relevantes em seu ambiente por meio de Operações autônomas de ameaças (ATO).

ATO transforma resultados de processamento de agentes e inteligência correlacionada em ação operacional em mais de 100 integrações que abrangem SIEM, SOAR, EDR/XDR, NGFW, gerenciamento de vulnerabilidades, plataformas de inteligência de ameaças, gerenciamento de identidade e acesso, segurança de e-mail e nuvem, GRC e defesa informada sobre ameaças. Ele implanta continuamente inteligência prioritária, executa buscas autônomas de ameaças, aplica regras de detecção e toma medidas preventivas sem que os analistas gastem horas em correlação manual. As 8 a 12 horas de trabalho de correlação semanal que a maioria das equipes de analistas realizam manualmente são quase totalmente eliminadas. A cadência de caça passa a ser 24 horas por dia, 7 dias por semana.

Hoje, a ATO faz isso em toda a sua superfície de ataque. Em breve, a ATO fará isso com terceiros, já que a exposição do fornecedor tem sido o caminho mais comum para violação nos últimos três anos.

O pipeline de cinco estágios que produz tudo isso – sinais de ameaça, enriquecimento inteligente, validação e verificação, resultados estruturados e fluxo de trabalho do cliente – funciona continuamente. O conteúdo pronto para produção está nos ambientes dos clientes minutos após a divulgação de origem em todas as categorias de ameaças detectadas pela plataforma.

Por que o processamento de agentes é diferente e por que sua organização precisa dele

Quatro coisas distinguem o processamento de agentes de qualquer coisa que uma equipe de segurança possa construir manualmente:

  1. Horas → minutos. Uma descoberta completa e enriquecida pode ser produzida em minutos, e não nas horas de pesquisa manual que o mesmo resultado costumava exigir.
  2. Eficiência de ordem de grandeza. Com base nas descobertas de pesquisa e desenvolvimento futuras registradas, a triagem por vulnerabilidade é 40 vezes mais eficiente do que o esforço de pesquisa manual, permitindo uma cobertura em escala que sua equipe não consegue alcançar manualmente.
  3. Cobertura de cauda longa. Fornecedores localizados, plataformas de nicho e sistemas legados tornam-se economicamente viáveis ​​para uma ampla cobertura.
  4. Sempre atual. Os ciclos contínuos de atualização mantêm a inteligência precisa à medida que as ameaças evoluem.

Esses benefícios representam a diferença entre prevenir ameaças antes do ataque e absorver o dano depois.

Vejamos um exemplo do que o processamento agente faz na velocidade da máquina.

React2Shell com processamento agente

Pegar CVE-2025-55182 — React2Shell, uma vulnerabilidade de execução remota de código de pré-autenticação em componentes do React Server. Poucos minutos após a divulgação, o processamento agente produziu:

  1. Uma assinatura de detecção de Attack Surface Intelligence (ASI) com lógica de detecção documentada, especificação de evidências e estratégia de impressão digital passiva
  2. Causa raiz e mecânica de exploração até o caminho do código específico
  3. Campanhas ativas, associações de atores de ameaças, evidências de exploração observadas
  4. Indicadores de comprometimento com classificação de confiança com comandos de detecção
  5. Controles defensivos priorizados com tempo de implantação e estimativas de falsos positivos
  6. Procedimentos manuais de validação, tarefas de remediação com critérios de aceitação e planos de reversão e comandos de verificação pós-remediação

Nesta nova era do Mythos, esse tipo de processamento e velocidade de ação serão necessários como a nova linha de base.

Além das vulnerabilidades: o mesmo manual generaliza

A divulgação de vulnerabilidades é o gatilho mais visível para o padrão de inteligência em velocidade, mas não é o único. A mesma lógica operacional se aplica sempre que surge um novo sinal de ameaça e um defensor precisa agir sobre ele antes que o adversário o monetize.

Quando um site de representação de marca é levantado, a sequência defensiva é a mesma: detecção, enriquecimento de inteligência (registrante, registrador, infraestrutura de hospedagem, associação histórica de campanha), controles defensivos priorizados (coordenação de remoção, bloqueio nas camadas de e-mail e web, alertando os funcionários afetados) e verificação de que a remoção ocorreu. A proteção digital contra riscos da Recorded Future executa esse ciclo continuamente na web aberta, profunda e escura.

Quando uma credencial roubada surge em um mercado de log de infostealer, o Identity Intelligence executa o mesmo padrão: detecção de credenciais vinculadas ao seu ambiente, enriquecimento com contexto de infecção (família de malware, dispositivo, outras credenciais no mesmo log, status de captura de cookie MFA), resposta priorizada (forçar redefinição de senha, revogar sessões ativas, alertar o usuário) e verificação.

O padrão é a postura. Aplique inteligência na velocidade da máquina onde quer que o adversário esteja agindo, em todas as categorias de superfície de ameaça. Vulnerabilidades são um gatilho. O trabalho generaliza. A Recorded Future está operacionalizando a inteligência na velocidade da máquina em nossas quatro soluções, Operações Cibernéticas, Proteção de riscos digitais, Risco de Terceirose Inteligência de fraude de pagamento.

O que isso significa para os defensores

A resposta operacional à descoberta de vulnerabilidades orientada por IA é o que separa as organizações que contêm exposições daquelas que acordam com chamadas de resposta a incidentes.

Estamos vendo clientes configurando a automação para agir mais rapidamente em resposta a essa nova realidade. Uma grande empresa do setor de serviços financeiros utilizou o Recorded Future para transformar seu fluxo de trabalho de gerenciamento de vulnerabilidades. Após um grande esforço de correção em toda a organização, a equipe desenvolveu a automação entre a verificação de vulnerabilidades e as ferramentas de gerenciamento de serviços de TI. O resultado: um processo simplificado e repetível e uma economia de tempo semanal estimada de mais de 20 horas para a equipe.

Recomendamos realizar estas cinco ações para que você também possa responder:

  1. Mude para uma segurança autônoma liderada por inteligência. Os inventários de ativos não são mais suficientes sem saber se existe uma vulnerabilidade, se é uma prioridade e qual é o raio de explosão.
  2. Reduza seu ciclo de divulgação até detecção em minutos. A criação manual de assinatura leva dias. Os adversários estão se movendo em horas. Qualquer que seja o tempo de ciclo atual, reduzi-lo pela metade agora é a linha de base.
  3. Exija priorização baseada em inteligência, não pontuações de gravidade. CVSS e EPSS descrevem o universo de vulnerabilidades, e não quais delas estão sendo usadas como arma contra o seu setor neste trimestre. A inteligência contra ameaças ajuda você a priorizar.
  4. Ação em toda a pilha, não apenas no endpoint. A descoberta orientada por IA revela falhas no código do aplicativo, kernels, bibliotecas e configurações de nuvem. A resposta defensiva requer chegar onde quer que o invasor possa usar o bug.
  5. Aplique a mesma postura em todas as quatro superfícies de ameaça. Operações cibernéticas, proteção contra riscos digitais, riscos de terceiros e fraudes de pagamento enfrentam a mesma velocidade de clock do invasor aumentada por IA.

A descoberta de vulnerabilidades orientada por IA está aqui. A grande questão é se seus sistemas podem operar na velocidade do invasor, com uma profundidade de inteligência que sobreviva ao escrutínio executivo. Se a resposta não for um sim confiante, então o Mythos e a categoria por trás dele já mudaram a matemática contra você.

Veja em produção. Solicite uma demonstração para ver a Inteligência Futura Registrada e as Operações Autônomas de Ameaças transformarem uma divulgação de vulnerabilidade em detecção implantável e ação em sua pilha em minutos.

Source link

logo_site

Temos Detetives particulares em vários locais e estados, ampliando nossa busca por informações.

Facebook Linkedin Twitter
Copyright © 2022, All rights reserved. Present by DetetiveHacker