O fim do prazo de 90 dias
O modelo de divulgação de vulnerabilidades de 90 dias, consagrado pelo Project Zero do Google, sempre dependeu de um pressuposto: o atacante levaria dias ou semanas para transformar um patch em um exploit funcional. Esse pilar está ruindo. A IA generativa permite que qualquer pessoa com acesso a um modelo de linguagem converta correções de segurança em código malicioso em questão de minutos.
Himanshu Anand, analista de segurança da Cloudflare, apresentou em um artigo técnico três casos que demonstram como a IA quebra as quatro premissas do disclosure responsável: exclusividade da descoberta, tempo de análise do pesquisador, vantagem do fornecedor na criação do patch e tempo de engenharia reversa pós-patch.
O fato: IA acelera exploração
Em abril, Anand reportou uma falha crítica em uma loja online que permitia compras com valor zero. A resposta do fornecedor? Ele era a décima primeira pessoa a reportar o mesmo bug em seis semanas. Um atendente descreveu o padrão: assim que alguém descobre uma falha com ajuda de IA, ondas de relatórios idênticos chegam em dias. Isso mostra que a exclusividade da descoberta acabou.
No segundo exemplo, Anand baixou o diff de patches de segurança do React e usou um LLM para construir um exploit funcional em apenas 30 minutos. Engenheiros reversos experientes levavam dias para o mesmo trabalho. Essa demonstração elimina a janela de segurança que administradores tinham entre o patch e o exploit.
O caso mais grave envolve o kernel Linux. Em abril, a equipe Xint Code descobriu a vulnerabilidade Copy Fail com uma varredura de uma hora usando IA. Um script de 732 bytes concede acesso root em praticamente todas as distribuições Linux desde 2017. Em dias, atores iranianos já exploravam a falha para ataques DDoS. Na semana seguinte, o pesquisador Hyunwoo Kim divulgou Dirty Frag sob embargo de cinco dias com as distribuições. O embargo foi quebrado em horas por terceiros que descobriram a mesma vulnerabilidade de forma independente. Nenhuma distribuição tinha patch pronto quando os detalhes se tornaram públicos.
Como funciona na prática
O processo é direto: um modelo de linguagem, treinado em grandes volumes de código, consegue entender a diferença entre a versão vulnerável e a corrigida. Com instruções adequadas, ele sugere como explorar a falha original. O custo é baixo - uma chamada de API de alguns centavos - e a latência é de segundos. Ferramentas como ChatGPT ou Claude podem ser usadas sem conhecimento profundo de engenharia reversa.
Isso democratiza a capacidade de criar exploits. Antes restrita a especialistas com anos de experiência, agora está ao alcance de qualquer pessoa com acesso a um LLM. A barreira técnica caiu drasticamente.
O que isso muda na prática
Para provedores de software, o recado é claro: bugs críticos devem ser tratados como emergências de hora zero. O ciclo tradicional de 90 dias para disclosure perde o sentido quando múltiplos pesquisadores podem achar a mesma falha simultaneamente. Para administradores de sistemas, a recomendação é aplicar patches instantaneamente, de preferência com automação. A janela de proteção não existe mais.
Pesquisadores de segurança precisam repensar os prazos de embargo. Se uma IA pode gerar um exploit em meia hora, segurar a divulgação por dias é arriscado. Além disso, a colaboração entre fornecedores e comunidade precisa ser mais ágil.
Uma ação prática: revise seu processo de patch management. Implemente deploys automáticos para correções de segurança críticas. Teste a capacidade de reverter um patch em exploit com ferramentas de IA internamente para entender sua exposição real.
Tensão: escala ou só muda o gargalo?
A pergunta que fica é se essa aceleração realmente escala. O custo computacional de rodar LLMs para análise de vulnerabilidades ainda é relevante, e a qualidade dos exploits gerados pode ser inconsistente. Mas os exemplos de Copy Fail e Dirty Frag mostram que ataques reais já estão acontecendo. A indústria está correndo atrás do prejuízo.
Outro ponto: a IA também pode ser usada para defesa, automatizando a busca por patches e acelerando a correção. O problema é que o atacante tem vantagem assimétrica - ele só precisa de uma brecha, enquanto o defesa precisa cobrir todas. O custo de oportunidade está mudando.
Conclusão
O prazo de 90 dias para disclosure de vulnerabilidades está com os dias contados. A IA generativa transformou patches em exploits em minutos, eliminando a janela de segurança que existia. O novo normal exige respostas em minutos, não semanas. Sua organização já está preparada para esse ritmo?
Nenhum comentário ainda. Seja o primeiro a comentar!
Deixe seu comentário