Os modelos de IA da Frontier estão a ser cada vez mais utilizados por investigadores para identificar vulnerabilidades de software em vários ambientes, incluindo navegadores, sistemas operativos e plataformas de código aberto. Esta semana, os programadores do Zcash divulgaram que o Claude Opus 4.8 ajudou a descobrir uma vulnerabilidade crítica que poderia ter permitido a um atacante cunhar ZEC ilimitados, estando a falha presente desde a ativação do Orchard em maio de 2022 até um conserto de emergência implantado a 1 de junho de 2026. O papel em expansão desta tecnologia na investigação de vulnerabilidades está a levantar preocupações sobre o acesso generalizado a estas capacidades, sobretudo quando projectos de cripto e DeFi enfrentam desafios de segurança crescentes, com mais de 840 milhões de dólares roubados nos primeiros cinco meses de 2026.
Transição dos modelos de IA de assistentes de código para ferramentas de segurança
Os primeiros modelos de IA eram usados profissionalmente como assistentes de codificação, ajudando os programadores a escrever, explicar e depurar software. A transição de assistente de codificação para ferramenta de segurança coincidiu com uma mudança mais ampla na sequência do lançamento do Claude Code em 2025, quando a Anthropic reportou um aumento acentuado do código gerado por IA nas suas equipas de engenharia.
"Há muito melhores capacidades da IA para rever código do que a maioria das pessoas e encontrar potenciais vulnerabilidades nele", disse Danny Jenkins, CEO e cofundador da ThreatLocker, à Decrypt. Jenkins afirmou que os sistemas de IA atuais já estão a acelerar a descoberta de vulnerabilidades, enquanto modelos mais recentes como o Mythos poderiam expandir significativamente essas capacidades.
Jenkins disse que a IA está a reduzir as barreiras de entrada para a investigação de vulnerabilidades, permitindo que mais pessoas analisem código e identifiquem fragilidades. "Antes da IA, as ameaças de cibersegurança e os exploits aumentavam todos os anos", afirmou. "Depois da IA, ficou ainda mais rápido, e penso que ficou mais rápido por duas razões. Uma é que agora pode usar IA para ajudar a encontrar vulnerabilidades e exploits, e o número de pessoas com capacidade para o fazer cresceu enormemente."
Empresas implementam IA para descoberta de vulnerabilidades em múltiplas plataformas
Na terça-feira, a Anthropic alargou o acesso ao Project Glasswing, dando acesso ao Claude Mythos a 150 empresas e instituições para ajudar a identificar e remediar vulnerabilidades de software antes de o modelo ser disponibilizado de forma mais ampla.
Em abril, a Mozilla divulgou que os modelos da Anthropic ajudaram a identificar centenas de vulnerabilidades que corrigiu no browser web Firefox, enquanto investigadores na Calif utilizaram o Mythos Preview durante trabalhos que deram origem a um dos primeiros exploits públicos direcionados aos chips M5 da Apple.
Stanislav Fort, antigo investigador da Google DeepMind e da Anthropic e agora fundador e cientista-chefe da empresa de segurança Aisle, disse à Decrypt que as preocupações sobre a descoberta de vulnerabilidades alimentada por IA são válidas, mas frequentemente mal compreendidas. "A resposta ingénua é tentar controlar o acesso a modelos poderosos. Penso que isto é, essencialmente, segurança pela obscuridade, e segurança pela obscuridade é uma das piores ideias no sector", afirmou Fort.
Em maio, a Microsoft apresentou o MDASH, um sistema de descoberta de vulnerabilidades orientado por agentes, que a empresa disse ter ajudado a identificar vulnerabilidades do Windows previamente desconhecidas.
Vulnerabilidade do Zcash destaca impacto da IA na segurança cripto
O investigador independente de segurança Taylor Hornby divulgou a vulnerabilidade crítica no fundo de privacidade Orchard do Zcash que descobriu com a ajuda do Claude Opus 4.8. A falha poderia ter permitido a um atacante criar ZEC falsificados ilimitados.
"A vulnerabilidade esteve presente desde a ativação do Orchard, em maio de 2022, até ao conserto de emergência ter sido implementado a 1 de junho de 2026", escreveu a Shielded Labs, a organização por trás do desenvolvimento do Zcash, numa publicação de divulgação. "Devido às propriedades de privacidade do Orchard e à natureza do bug, não existe uma forma definitiva de determinar, usando apenas criptografia, se ocorreu tal exploração."
Mais de 840 milhões de dólares foram roubados a projectos DeFi nos primeiros cinco meses de 2026, incluindo mais de 600 milhões de dólares apenas em abril, em ataques a projectos como KelpDAO e Drift Protocol.
Natalie Newson, investigadora sénior de blockchain na plataforma de segurança Web3 CertiK, disse que, embora abril tenha sido invulgarmente severo para exploits de cripto, a tendência mais ampla continua mais estável. "Abril de 2026 foi um mês mau para exploits de cripto; houve apenas três dias sem um exploit em que pelo menos 10.000 dólares fossem roubados", disse. "No entanto, quando olhamos para o quadro mais amplo, o número de incidentes (excluindo phishing) é, de forma arguível, bastante consistente e ainda inferior a um pico de 2023."
Raz Niv, CTO da Blockaid, disse que o risco maior não é a IA substituir hackers, mas amplificá-los, permitindo que os atacantes se concentrem em técnicas mais sofisticadas enquanto a IA trata de tarefas rotineiras. "A boa notícia é que os defensores podem usar as mesmas ferramentas", afirmou. "A monitorização e simulação assistidas por IA está a tornar-se essencial para as equipas de segurança que procuram acompanhar o ritmo."
FAQ
Que vulnerabilidade é que o Claude Opus 4.8 ajudou a descobrir no Zcash?
O Claude Opus 4.8 ajudou o investigador independente de segurança Taylor Hornby a descobrir uma vulnerabilidade crítica no fundo de privacidade Orchard do Zcash que poderia ter permitido a um atacante cunhar ZEC falsificados ilimitados. A vulnerabilidade esteve presente desde a ativação do Orchard, em maio de 2022, até ao conserto de emergência ter sido implementado a 1 de junho de 2026.
Quanto dinheiro foi roubado a projectos DeFi nos primeiros cinco meses de 2026?
Foram roubados mais de 840 milhões de dólares a projectos DeFi nos primeiros cinco meses de 2026, incluindo mais de 600 milhões de dólares apenas em abril, em ataques a projectos como KelpDAO e Drift Protocol.
Que empresas estão a implementar modelos de IA para descoberta de vulnerabilidades?
A Anthropic alargou o acesso ao Project Glasswing na terça-feira, dando acesso ao Claude Mythos a 150 empresas e instituições. A Mozilla divulgou em abril que os modelos da Anthropic ajudaram a identificar centenas de vulnerabilidades corrigidas no Firefox. Em maio, a Microsoft introduziu o MDASH, um sistema de descoberta de vulnerabilidades orientado por agentes, que ajudou a identificar vulnerabilidades do Windows previamente desconhecidas.
