Modelos de IA de fronteira estão sendo cada vez mais usados por pesquisadores para identificar vulnerabilidades de software em navegadores, sistemas operacionais e plataformas de código aberto. Desenvolvedores da Zcash divulgaram esta semana que Claude Opus 4.8 ajudou a descobrir uma vulnerabilidade crítica que poderia ter permitido a um atacante cunhar ZEC ilimitado, com a falha presente desde a ativação do Orchard em maio de 2022 até um ajuste emergencial implantado em 1º de junho de 2026. O papel em expansão da tecnologia na pesquisa de vulnerabilidades está levantando preocupações sobre o acesso disseminado a essas capacidades, especialmente enquanto projetos de cripto e DeFi enfrentam desafios de segurança crescentes, com mais de US$ 840 milhões roubados nos primeiros cinco meses de 2026.
Modelos de IA passam de assistentes de programação para ferramentas de segurança
Os primeiros modelos de IA eram usados profissionalmente como assistentes de programação, ajudando desenvolvedores a escrever, explicar e depurar software. A transição de assistente de programação para ferramenta de segurança coincidiu com uma mudança mais ampla após o lançamento do Claude Code em 2025, quando a Anthropic relatou um aumento acentuado de código gerado por IA entre suas equipes de engenharia.
“A IA é muito melhor para revisar código do que a maioria das pessoas e encontrar vulnerabilidades potenciais nele”, disse Danny Jenkins, CEO e cofundador da ThreatLocker, ao Decrypt. Jenkins afirmou que os sistemas de IA atuais aceleram a descoberta de vulnerabilidades, enquanto modelos mais novos como Mythos poderiam expandir significativamente essas capacidades.
Jenkins disse que a IA está reduzindo as barreiras de entrada para pesquisas de vulnerabilidades, permitindo que mais pessoas analisem código e identifiquem fragilidades. “Pré-IA, as ameaças de cibersegurança e os exploits vinham aumentando a cada ano”, disse. “Pós-IA, ficou ainda mais rápido, e eu acho que ficou mais rápido por dois motivos. Um é que agora você pode usar IA para ajudar a encontrar vulnerabilidades e exploits, e o número de pessoas com capacidade para fazer isso cresceu de forma massiva.”
Empresas implantam IA para descobrir vulnerabilidades em múltiplas plataformas
Na terça-feira, a Anthropic expandiu o acesso ao Project Glasswing, dando a 150 empresas e instituições acesso ao Claude Mythos para ajudar a identificar e remediar vulnerabilidades de software antes que o modelo seja liberado de forma mais ampla.
Em abril, a Mozilla divulgou que modelos da Anthropic ajudaram a identificar centenas de vulnerabilidades que ela corrigiu no navegador web Firefox, enquanto pesquisadores da Calif usaram Mythos Preview durante trabalhos que resultaram em um dos primeiros exploits públicos mirando chips M5 da Apple.
Stanislav Fort, ex-pesquisador do Google DeepMind e da Anthropic e agora fundador e cientista-chefe da firma de segurança Aisle, disse ao Decrypt que preocupações sobre descoberta de vulnerabilidades impulsionada por IA são válidas, mas frequentemente mal compreendidas. “A resposta ingênua é tentar restringir o acesso a modelos poderosos. Eu acho que isso é essencialmente segurança por obscuridade, e segurança por obscuridade é uma das piores ideias no setor”, disse Fort.
Em maio, a Microsoft apresentou o MDASH, um sistema agentivo de descoberta de vulnerabilidades que a empresa disse ter ajudado a identificar vulnerabilidades desconhecidas anteriormente no Windows.
Vulnerabilidade na Zcash destaca impacto da IA na segurança cripto
O pesquisador independente de segurança Taylor Hornby divulgou a vulnerabilidade crítica na pool de privacidade Orchard da Zcash, que ele descobriu com a assistência de Claude Opus 4.8. A falha poderia ter permitido que um atacante criasse ZECs falsificados ilimitados.
“A vulnerabilidade estava presente desde a ativação do Orchard em maio de 2022 até que o ajuste emergencial fosse implantado em 1º de junho de 2026”, escreveu o Shielded Labs, a organização por trás do desenvolvimento da Zcash, em uma postagem de divulgação. “Devido às propriedades de privacidade do Orchard e à natureza do bug, não há uma forma definitiva de determinar, usando apenas criptografia, se ocorreu uma exploração desse tipo.”
Mais de US$ 840 milhões foram roubados de projetos de DeFi nos primeiros cinco meses de 2026, incluindo mais de US$ 600 milhões só em abril, em ataques a projetos como KelpDAO e Drift Protocol.
Natalie Newson, investigadora sênior de blockchain da plataforma de segurança Web3 CertiK, disse que, embora abril tenha sido incomumente severo para exploits cripto, a tendência mais ampla permanece mais estável. “Abril de 2026 foi um mês ruim para exploits de cripto; houve apenas três dias sem um exploit em que pelo menos US$ 10.000 foram levados”, disse. “No entanto, quando olhamos para o quadro mais amplo, o número de incidentes (excluindo phishing) pode ser considerado bastante consistente e ainda menor do que um pico em 2023.”
Raz Niv, CTO da Blockaid, disse que o risco maior não é a IA substituir hackers, mas ampliá-los, permitindo que atacantes foquem em técnicas mais sofisticadas enquanto a IA lida com tarefas rotineiras. “A boa notícia é que defensores podem usar as mesmas ferramentas”, disse. “Monitoramento e simulação com apoio de IA está se tornando essencial para equipes de segurança tentando acompanhar.”
FAQ
Qual vulnerabilidade o Claude Opus 4.8 ajudou a descobrir na Zcash?
Claude Opus 4.8 ajudou o pesquisador independente de segurança Taylor Hornby a descobrir uma vulnerabilidade crítica na pool de privacidade Orchard da Zcash que poderia ter permitido que um atacante cunhasse ZEC falsificados ilimitados. A vulnerabilidade estava presente desde a ativação do Orchard em maio de 2022 até que um ajuste emergencial fosse implantado em 1º de junho de 2026.
Quanto dinheiro foi roubado de projetos de DeFi nos primeiros cinco meses de 2026?
Mais de US$ 840 milhões foram roubados de projetos de DeFi nos primeiros cinco meses de 2026, incluindo mais de US$ 600 milhões só em abril, em ataques a projetos como KelpDAO e Drift Protocol.
Quais empresas estão implantando modelos de IA para descoberta de vulnerabilidades?
A Anthropic expandiu o acesso ao Project Glasswing na terça-feira, dando a 150 empresas e instituições acesso ao Claude Mythos. A Mozilla divulgou em abril que os modelos da Anthropic ajudaram a identificar centenas de vulnerabilidades corrigidas no Firefox. A Microsoft apresentou o MDASH em maio, um sistema agentivo de descoberta de vulnerabilidades que ajudou a identificar vulnerabilidades desconhecidas anteriormente no Windows.
