IA Identifica Bugs em Minutos. Provar que São Reais Ainda Exige um Humano.

As equipas de segurança estão a afogar-se em relatórios de vulnerabilidades gerados por IA que parecem convincentes mas desmoronam-se no momento em que alguém tenta reproduzi-los. A regra antiga mantém-se: apresente o trabalho ou descarte.

AI2Day Newsdesk· 3 min read
Full-frame photoreal editorial image of a modern developer's desk at dusk, two monitors glowing with abstract lines of code, one screen subtly tinted a cool blu
Share

Pontos-chave

  • As ferramentas de segurança assistidas por IA conseguem analisar uma base de código inteira em minutos, uma tarefa que outrora levava uma semana a um analista experiente.
  • As plataformas de recompensa por descoberta de bugs, que pagam prémios em dinheiro aos investigadores que encontram falhas reais de software, estão a reportar um aumento em relatórios gerados por IA que se revelam ser falsificações.
  • O responsável de manutenção do projecto open-source curl descreveu publicamente estar sobrecarregado com relatórios de bugs muito polidos que não se mantêm em testes.
  • Uma descoberta válida de segurança requer uma demonstração funcional, não apenas uma descrição escrita, e isto foi sempre verdade.
  • Os pequenos empresários que recebem e-mails não solicitados sobre "falhas críticas" devem pedir uma demonstração ao vivo numa conta de teste antes de tomar qualquer acção.

Conforme relatado primeiro por ThreatVectr, o mundo da investigação de segurança está a confrontar-se com um problema simples: as ferramentas de IA são muito boas a parecerem confiantes, e confiança não é o mesmo que correcto.

É assim que o novo fluxo de trabalho funciona realmente. Um investigador de segurança abre uma ferramenta assistida por IA, que utiliza um modelo de linguagem de grandes dimensões (o mesmo tipo de tecnologia que alimenta chatbots como o ChatGPT) para ler código de software. A ferramenta resume o que o programa faz, assinala funções que parecem suspeitas, e até redige ataques de exemplo, chamados payloads, que o investigador pode executar contra um sistema ativo. O que antes levava dias agora leva uma tarde.

Esta velocidade é genuinamente útil. Ninguém está a discutir isso.

O problema é o que acontece a seguir. Um modelo de linguagem de grandes dimensões não sabe quando está a adivinhar. Descreverá uma vulnerabilidade em linguagem confiante e técnica, inventará um nome de função que não existe no código real, e proporá um ataque que nunca foi testado num sistema real. Cada um desses relatórios chega à caixa de entrada de alguém.

Qual é o custo para as pessoas reais?

Custa tempo, que é exatamente o recurso que as equipas de segurança têm menos. Cada relatório falso tem de ser triado, ou seja, um analista humano deve sentar-se, ler cuidadosamente, tentar reproduzir a falha descrita e depois escrever a explicar por que razão não existe. Multiplique isso por centenas de submissões geradas por IA cada semana e terá consumido exatamente o recurso que estava a tentar proteger.

Os voluntários que mantêm software popular open-source, ferramentas que milhões de pessoas e empresas utilizam todos os dias, sentem isto com maior intensidade. O responsável de manutenção do curl, uma ferramenta de transferência de dados amplamente utilizada, declarou publicamente que as alucinações geradas por IA (falsificações que um modelo produz com total confiança) estão a consumir o tempo disponível para trabalho real.

As plataformas de recompensa por descoberta de bugs estão a reportar o mesmo padrão. Pague investigadores por descobertas reais e de repente há uma razão financeira para inundar a fila com adivinhas redigidas por IA.

O padrão que realmente importa não mudou. Uma descoberta válida significa uma demonstração funcional: passos exatos, versão exacta de software, e idealmente uma prova de conceito, um pequeno fragmento de código ou uma sequência específica de entrada que despoleta a falha de forma fiável. Prosa sem prova é apenas uma adivinha em bata branca.

A única conclusão honesta: se alguém enviar um e-mail à sua empresa afirmando que encontrou uma falha crítica no seu website, peça-lhe que a demonstre num ambiente de teste. Investigadores legítimos esperam por esse pedido. As pessoas que pretendem obter um pagamento rápido raramente continuam.

© 2026 AI2Day