A cobertura recente em torno do mais recente modelo da Anthropic, o Mythos, centrou-se quase exclusivamente no que este poderia fazer a favor de atacantes. Um rascunho de uma publicação no blogue que vazou, visto pela Fortune, descreve o modelo como capaz de «explorar vulnerabilidades de formas que ultrapassam em muito os esforços dos defensores». A tal ponto que a Anthropic afirma querer agir com cautela e compreender devidamente os potenciais «riscos a curto prazo no domínio da cibersegurança» do modelo antes de avançar.
O que se seguiu era previsível: manchetes sobre«o pesadelo cibernético iminente da IA», fornecedores de cibersegurança a alertar para a democratização dos ataques cibernéticos e um consenso geral de que a balança pendeu para o outro lado.
É sinistro, não é?
Bem, à primeira vista, é verdade. Mas a balança ainda não pendeu. Essa visão apocalíptica assenta no pressuposto de que a capacidade do modelo se traduz diretamente numa vantagem para o atacante. Mas os nossos dados sugerem o contrário.
O pressuposto subjacente à narrativa do Mythos
De facto, sabemos que os modelos de IA irão acelerar os processos de ataque. No entanto, a eficácia desta medida depende em grande medida do contexto profundo do sistema — algo de que os atacantes carecem em grande parte.
As capacidades de cibersegurança atribuídas a modelos como o Mythos coincidem significativamente com o que os sistemas de IA já fazem em ambientes controlados de testes de segurança. Detecção de vulnerabilidades, análise do código, ataques em várias etapas. A nossa própria experiência com 1 000 testes de penetração com IA em condições reais permite-nos compreender como o desempenho varia em diferentes condições.
O padrão é consistente. Os testes de caixa branca, em que o código-fonte da aplicação alvo está disponível, revelaram 7 vezes mais problemas críticos e de gravidade elevada e foram executados com uma eficiência cerca de duas vezes superior à dos testes de caixa cinzenta, com acesso limitado ao código-fonte. Isto sugere que a eficácia da IA é altamente sensível ao contexto, e não apenas à capacidade bruta.
Na prática, esse contexto resulta da combinação da análise estática com a análise dinâmica. Analisar o código ou o comportamento isoladamente proporciona apenas uma visão parcial. Quando ambas as análises estão disponíveis, é possível relacionar o código escrito com o seu comportamento durante a execução, o que altera a profundidade das conclusões. Isso também altera a eficiência. São necessárias menos tentativas (e, consequentemente, menos recursos) para identificar problemas significativos.
As reflexões atuais em torno do Mythos partem do princípio de que os atacantes tirarão maior proveito dos modelos de ponta mais recentes. Mas, na prática, isso não tem em conta que são os atacantes que dispõem de um contexto limitado. Eles estão a inferir detalhes do sistema a partir do exterior, enquanto os defensores já têm acesso ao funcionamento real desses sistemas.
O contexto é a limitação, e não a capacidade
De facto, é dada grande importância à forma como os próprios criadores do modelo descrevem as suas capacidades; o mesmo aconteceu quando a Anthropic afirmou que o Claude Opus 4.6 detetou mais de 500 vulnerabilidades de gravidade elevada em bibliotecas de código aberto. Estas afirmações mostram o que os modelos são capazes de fazer em condições ideais. No entanto, pouco se fala sobre como o desempenho muda quando se opera sem uma visibilidade total do sistema.
A principal variável aqui é o contexto. O acesso ao código-fonte e à lógica interna da aplicação determina o que os agentes de teste podem avaliar de forma significativa. A capacidade, por si só, não se traduz em resultados. Sem um contexto de código estático e dinâmico suficiente, mesmo os modelos mais avançados não conseguem superar os modelos de código aberto mais simples, devido a uma compreensão incompleta do sistema que estão a analisar.
Considere o recente ataque ao Axios, um dos pacotes mais utilizados no registo NPM. O atacante não alterou o código-fonte. Ele comprometeu uma conta de mantenedor, adicionou uma nova dependência e publicou uma atualização. O ataque funcionou porque não havia nenhum CVE conhecido com o qual comparar, nenhum padrão de código malicioso para sinalizar, nem nenhuma assinatura que um scanner pudesse detetar. O ataque foi bem-sucedido porque todas as ferramentas da cadeia careciam do contexto necessário para perceber o que tinha realmente mudado.
Uma organização com uma visão aprofundada da sua árvore de dependências — sabendo não só quais os pacotes que utiliza, mas também o que esses pacotes fazem, como se comportam e como se apresenta uma atualização legítima — teria tido uma base para questionar essa alteração. Sem isso, nenhuma velocidade ou capacidade é suficiente. É por isso que a atual interpretação de que «a IA favorece os atacantes» não capta o verdadeiro cerne da questão. É aqui que a abordagem aos testes orientados por IA começa a divergir. Com o contexto completo do código e do comportamento em tempo de execução, estas ferramentas de agente privilegiadas identificam problemas que os testes superficiais simplesmente não detectam.
No entanto, nada disto significa que a vantagem do defensor em termos de contexto, no que diz respeito à visibilidade do código e do tempo de execução, seja permanente. É claro que a IA também irá reduzir o custo de aquisição de contexto; mas a narrativa atual sugere que houve uma mudança repentina no equilíbrio. Construir uma compreensão genuína do sistema é um trabalho lento e complexo e, embora os modelos de IA sejam cada vez mais capazes de deduzir certos aspetos do contexto, nunca conseguirão igualar a clareza que advém do acesso ao código-fonte real, à API e às credenciais/tokens da aplicação, bem como da capacidade de analisar rapidamente a lógica de negócio interna em todos os componentes da aplicação, microsserviços e integrações que uma organização possui internamente.
Em retrospetiva, tudo isto pode parecer óbvio, especialmente tendo em conta a tendência para divulgar previsões apocalípticas em matéria de segurança. Mas, por vezes, é necessário um exame mais minucioso do que nos é apresentado para avaliarmos verdadeiramente o impacto real. O mantra geral tem sido que os novos modelos de IA vão alterar drasticamente o equilíbrio, o que é verdade até certo ponto; a IA proporcionará velocidade, alcance e capacidade aos atacantes, e haverá um impacto negativo sentido por quem defende aplicações, sistemas e infraestruturas.
Mas a nuance reside no facto de a eficácia depender em grande parte do contexto, e esse contexto está distribuído de forma desigual. Felizmente para nós, a balança pende a favor dos defensores. Assim, embora os atacantes possam ser os primeiros a beneficiar de modelos de IA de ponta emergentes, como o Mythos e o Capybara, os defensores já detêm uma vantagem no que diz respeito ao conhecimento profundo e estrutural de como o seu código funciona realmente. A IA está a tornar o contexto da segurança das aplicações mais valioso do que nunca. A questão é saber se os defensores irão aproveitar a vantagem que já possuem.
