Mythos acelera descoberta de vulnerabilidades com IA, mas defesas das empresas ainda precisam evoluir

A Mythos representa um avanço significativo na descoberta de vulnerabilidades com auxílio de IA. No entanto, isso não significa que a cibersegurança mudou da noite para o dia, nem que as empresas enfrentarão explorações automatizadas em escala global amanhã. O que realmente indica é que o lado ofensivo da IA continua a se aprimorar, enquanto o defensivo precisa acompanhar essa evolução.

A ferramenta é mais um passo em uma tendência de longo prazo. Nos próximos anos, espera-se o mesmo padrão: progresso incremental seguido de saltos significativos. Os modelos se tornarão mais capazes e acessíveis a cada ciclo, pressionando equipes de segurança que ainda operam em velocidade humana.

A Mythos demonstrou que a IA pode encontrar vulnerabilidades em softwares com profundidade sem precedentes. Esse é um progresso real e deve ser levado a sério. No entanto, não se trata de um cenário em que a IA tornou a invasão de empresas barata, fácil ou automática.

Mesmo nos exemplos da Anthropic, o custo para descobrir uma vulnerabilidade crítica foi alto. Em um caso citado, foram gastos cerca de US$ 20 mil em tokens para identificar um problema significativo no OpenBSD. A Mythos tornou a descoberta de vulnerabilidades mais escalável ao substituir mão de obra por investimento financeiro. Contudo, encontrar uma vulnerabilidade é apenas uma parte da realidade operacional.

Um invasor ainda precisa determinar se a vulnerabilidade é explorável em uma empresa específica, identificar um caminho de ataque viável, obter acesso necessário e operacionalizar o exploit em um ambiente real. Nada disso se tornou fácil apenas porque um modelo encontrou um bug no software.

Do lado defensivo, a Mythos não resolve o problema mais complexo das empresas: como saber se uma vulnerabilidade é explorável no ambiente corporativo e qual a forma mais eficiente de corrigi-la sem interromper as operações?

O verdadeiro desafio das empresas não é a descoberta de vulnerabilidades, mas a priorização e a ação. Líderes de segurança não enfrentam dificuldades apenas porque as vulnerabilidades existem, mas porque o custo operacional de decidir o que é relevante, o que é explorável, o que pode esperar e o que pode ser corrigido com segurança é enorme.

O problema da priorização

Se uma grande empresa descobre que uma vulnerabilidade crítica foi encontrada em um software amplamente utilizado, o próximo passo não é mágico. É uma sequência dolorosa de perguntas operacionais: onde o software é executado, qual versão está instalada, se existe um caminho de ataque realista e muitas outras.

A Mythos não reduz o custo defensivo de responder a essas questões dentro de uma empresa real. A lição correta é a preparação. Um erro comum no mercado é assumir que toda nova capacidade representa o momento em que tudo muda. A estratégia adequada é começar agora com sistemas defensivos de IA que sejam úteis hoje e estejam posicionados para melhorar com o tempo.

Como as empresas devem se preparar

Para a maioria das organizações, isso significa buscar produtos de IA que:

• Melhorem a investigação de alertas e a caça a ameaças;
• Ofereçam gerenciamento de vulnerabilidades com recursos completos de auditoria;
• Se integrem aos dados corporativos e forneçam contexto organizacional;
• Evoluam conforme o cenário de modelos de IA amadurece.

O objetivo é construir agora as bases operacionais para um futuro em que mais aspectos da segurança possam ser automatizados de forma inteligente e segura.