No mês passado, o governo mexicano foi hackeado. 150 GB de dados governamentais foram roubados, incluindo 195 milhões de registos de contribuintes. Este ataque explorou algumas dezenas de vulnerabilidades em dez instituições. No passado, uma equipa especializada provavelmente levaria meses para decifrar isso.
Mas, é claro, estamos a viver numa nova era. Este ataque foi executado por uma pessoa e seu assistente Claude Code. Em pouco mais de mil comandos, este hacker e seu ajudante de IA usaram movimento lateral completo, exfiltração automatizada, scripts de exploração e preenchimento de credenciais para realizar a manobra. Imagine os danos se este invasor tivesse usado ferramentas mais sofisticadas e tivesse uma equipe inteira!
O que este ataque nos mostra é que as pessoas podem, de repente, autodenominarem-se hackers e realizar grandes roubos apenas com uma assinatura comercial de IA e persistência. Este é um jogo totalmente novo, e as ferramentas de IA deram um enorme poder a quem agir primeiro. Os hackers agora têm brinquedos superpotentes. Mas a IA também pode dar o mesmo superpoder aos defensores e protetores.
Os atacantes já têm os seus brinquedos superpoderosos
Os atacantes já brincam com esses super brinquedos há algum tempo, muito mais tempo do que muitas equipas de segurança pensam em defesa contra IA.
De acordo com o Relatório Global de Ameaças 2026CrowdStrike, os ataques habilitados por IA aumentaram 89% em relação ao ano anterior. O tempo médio entre o acesso inicial e o movimento lateral agora é de 29 minutos. A invasão mais rápida observada em seu conjunto de dados ocorreu em 27 segundos.
A IA também está a atrair toda uma nova geração de agentes de ameaças. Tradicionalmente, os hackers precisavam ser bons em algumas tarefas altamente especializadas, exceto talvez phishing e preenchimento básico de credenciais. Escrever código de exploração e solucionar problemas de malware agora são apenas problemas imediatos. Um único agente mal-intencionado pode gerar um kit de ferramentas completo com a ajuda de um assistente de IA. O nível mínimo de habilidade caiu rapidamente e, à medida que a IA fica mais inteligente, os invasores não precisam mais ser.
O invasor do México estava talvez em algum lugar no meio do espectro de habilidades. Ele tinha conhecimento suficiente para obter acesso inicial de forma independente e criou uma fuga funcional por meio da persistência, reformulando o ataque como um compromisso de recompensa por bug até que Claude cedeu. Mas havia algumas evidências de que esse invasor não era um profissional. Ele deixou todo o registo da conversa em um local público ( um invasor sofisticado cobre melhor os seus rastros). Os registos também mostravam o atacante a perguntar a Claude em tempo real quais as outras agências a atacar a seguir, sugerindo que a campanha era em parte oportunista, em vez de um plano bem elaborado desde o início. Ele tinha habilidade suficiente para entrar, mas Claude fez o trabalho real aqui.
Embora o invasor tivesse algum conhecimento de hacking, uma nova onda de hackers que utilizam IA tem muito pouco conhecimento técnico. A campanha FortiGate, documentada pela Amazon Threat Intelligence fevereiro de 2026, é um exemplo. Um invasor com habilidades técnicas relativamente baixas comprometeu mais de 600 firewalls FortiGate em 55 países em cinco semanas. Sem zero-days. Sem técnicas inovadoras. O hacker obteve acesso inicial procurando portas de gestão expostas e tentando credenciais comumente reutilizadas. Em seguida, a IA assumiu o controle, criando os planos de ataque, escrevendo as ferramentas e, em alguns casos, executando ferramentas ofensivas sem que o invasor aprovasse cada comando. Quando o invasor se deparava com alvos que não conseguia lidar, ele simplesmente seguia em frente. A IA fazia com que eles parecessem capazes até que não fosse mais possível, e então sua capacidade real era revelada.
Os atacantes costumavam ter habilidades incríveis. Agora, eles não precisam mais disso, e a barreira de entrada continuará a diminuir.
Os defensores precisam da sua própria atualização
Os protetores não podem confiar nas ferramentas e sistemas anteriores. O que os ataques ao México e ao FortiGate confirmaram é que a IA pode raciocinar através de cadeias de vulnerabilidades complexas com rapidez suficiente para torná-las exploráveis em grande escala. A mesma IA que escreveu scripts de exploração e mapeou caminhos de movimento lateral para um único invasor pode, e precisa, trabalhar de forma inversa para a sua equipa de segurança. Dê essa capacidade aos defensores e eles poderão encontrar essas cadeias antes que um invasor o faça.
Os defensores precisam combater a IA com IA. A deteção baseada em assinaturas não tem padrões para comparar com um script que foi inventado na hora e nunca existiu antes. SAST o que foi treinado para reconhecer e não tem estrutura para uma cadeia de vulnerabilidades que uma IA montou em tempo real a partir da sua base de código específica. Se a IA está a gerar novos caminhos de ataque que os pentesters humanos não pensariam em tentar, a única maneira de encontrar esses caminhos antes que um invasor o faça é executar a IA primeiro na sua própria aplicação.
A IA torna os defensores capazes de fazer coisas que antes estavam fora do seu alcance. Um único engenheiro de segurança agora pode executar mais do que uma equipa vermelha completa poderia, em termos de velocidade, profundidade e cobertura. Em vez de escolher quais partes da aplicação testar antes de um lançamento, pentest de IA contínuo pentest de IA testar tudo, em cada implementação, com agentes de IA executando centenas de caminhos de ataque em paralelo e alimentando as descobertas de volta ao processo em tempo real. As equipas podem operar em uma escala diferente e reduzir o tempo em que a aplicação permanece sem ser testada.
Vista-se e vá
Os atacantes do México e do FortiGate tiveram sucesso porque possuíam atualizações de IA superpotentes. As vulnerabilidades serão mais fáceis de serem encontradas pelos hackers, e mais agentes mal-intencionados irão se aproveitar disso. Os defensores precisam de seus próprios brinquedos superpoderosos para se defenderem dos hackers com suas próprias super armas.
Considere Tony Stark, um engenheiro e estrategista genial por mérito próprio. Equipado com a armadura do Homem de Ferro e o JARVIS, ele é um super-herói completo. A IA e a armadura lidam com a escala, enquanto Stark toma as decisões. Juntos, eles são imbatíveis.
Aikido é o superpoder para equipas de segurança. pentest de IA contínuo pentest de IA como uma equipa de hackers de elite dedicada inteiramente à sua aplicação, em cada implementação, 24 horas por dia. Os seus melhores profissionais deixam de triar Top 10 OWASP e voltam a dedicar-se a batalhas mais importantes. Leia mais sobre como funciona na publicação de lançamento do produto Infinite.
Os atacantes já têm os seus fatos. Aikido é seu. Vista-se.
