Ataques cibernéticos por menos de US$1 disparam: defesas duradouras são essenciais

IA acelera ataques cibernéticos a custo mínimo

A transformação de uma vulnerabilidade recém-descoberta em um ataque cibernético, que antes levava meses, agora pode ser feita em minutos graças à IA generativa. Recentemente, o Project Glasswing, da Anthropic, demonstrou como essa tecnologia pode ser usada para explorar falhas com baixo custo computacional — muitas vezes menos de US$1 em tempo de nuvem.

Defesas também podem se beneficiar da IA

Embora a IA represente uma ameaça real, ela também oferece uma oportunidade para reforçar as defesas cibernéticas. Segundo a Anthropic, seu modelo Claude Mythos já ajudou defensores a identificar mais de mil vulnerabilidades zero-day antes que fossem exploradas. Entre as descobertas estão falhas em sistemas operacionais e navegadores populares. A empresa coordena a divulgação responsável e os esforços para corrigir essas vulnerabilidades.

No entanto, ainda não está claro se a descoberta de bugs por IA favorecerá mais os atacantes ou os defensores. Para entender como as organizações podem aumentar suas chances de se proteger, é útil analisar um movimento anterior de descoberta automatizada de vulnerabilidades.

Lições do passado: o impacto dos 'fuzzers'

Na década de 2010, surgiram ferramentas capazes de atacar programas com milhões de entradas aleatórias e malformadas — como um macaco teclando aleatoriamente até encontrar uma falha. Ferramentas como o American Fuzzy Lop (AFL) identificaram vulnerabilidades críticas em navegadores e sistemas operacionais.

A comunidade de segurança não entrou em pânico. Em vez disso, organizações industrializaram a defesa. O Google, por exemplo, criou o OSS-Fuzz, um sistema que executa fuzzers continuamente em milhares de projetos de software. Isso permitiu que fornecedores de software detectassem bugs antes de lançar atualizações, em vez de esperar que atacantes os encontrassem.

A expectativa é que a descoberta de vulnerabilidades por IA siga o mesmo caminho. As organizações integrarão essas ferramentas ao desenvolvimento padrão, executando-as de forma contínua e estabelecendo um novo patamar de segurança.

O desafio da assimetria: encontrar bugs é fácil, corrigi-los não

A principal diferença entre as ferramentas antigas e a IA atual está na acessibilidade. Enquanto os fuzzers exigiam conhecimento técnico avançado para serem configurados e operados, os modelos de linguagem (LLMs) encontram vulnerabilidades com apenas um prompt. Isso cria uma assimetria preocupante:

• Atacantes: não precisam mais de alta especialização técnica para explorar códigos.
• Defensores: ainda dependem de engenheiros para analisar, avaliar e agir sobre as vulnerabilidades identificadas pela IA.

Embora o custo humano de encontrar e explorar bugs possa se aproximar de zero, o mesmo não ocorre com a correção deles.

O problema das dependências não auditadas

Peter Gutmann, em seu livro Engineering Security, observou que "muitas das tecnologias de segurança atuais são consideradas 'seguras' apenas porque ninguém jamais as analisou". Essa afirmação ganhou ainda mais relevância com a IA, que tornou a busca por bugs drasticamente mais barata.

Grande parte do código atual — incluindo infraestruturas de código aberto das quais dependem softwares comerciais — é mantido por pequenas equipes, contribuidores voluntários ou indivíduos sem recursos dedicados à segurança. Uma vulnerabilidade em qualquer projeto de código aberto pode ter um impacto significativo.

Em 2021, a vulnerabilidade Log4j — uma biblioteca de registro mantida por poucos voluntários — expôs centenas de milhões de dispositivos. Por ser amplamente utilizada, a falha se tornou uma das vulnerabilidades de software mais disseminadas da história. O caso do Log4j é apenas um exemplo de um problema maior: dependências críticas que nunca foram auditadas adequadamente.

O que fazer agora?

Para se proteger contra ataques cada vez mais acessíveis e frequentes, as organizações devem:

• Integrar ferramentas de IA no ciclo de desenvolvimento para detectar vulnerabilidades precocemente.
• Estabelecer processos contínuos de auditoria em dependências críticas, especialmente em código aberto.
• Investir em equipes capacitadas para analisar e corrigir as vulnerabilidades identificadas pela IA.
• Adotar uma cultura de segurança proativa, em vez de reativa.

Em um cenário onde o custo de um ataque pode ser inferior a US$1, a única defesa duradoura é a preparação antecipada e a adoção de tecnologias avançadas de proteção.