Uma prévia de pesquisa de um sistema de IA fez algo que, discretamente, leva todos os CISOs a repensarem seus modelos de ameaças. Sem intervenção humana, esse novo modelo identificou milhares de vulnerabilidades de dia zero em todos os principais sistemas operacionais e navegadores. Não em anos. Não em meses. Em semanas.
Essa IA era Prévia do Mito de ClaudeE enquanto a comunidade de segurança debatia o papel da IA na defesa, a questão da capacidade ofensiva acabou de ser respondida por si só.
A questão para os líderes de segurança não é mais se a IA mudará o cenário de ameaças. Ela já mudou. A questão agora é: você está usando-a antes que seu adversário o faça?
“A janela de oportunidade para agir não é de meses. É agora.”
O momento Mythos: O que realmente mudou?
Para entender por que isso é importante, você precisa compreender o que tornou o Mythos diferente de todas as ferramentas de segurança automatizadas que o precederam.
A varredura de vulnerabilidades tradicional é mecânica. Ela busca padrões. Verifica assinaturas conhecidas em relação a fraquezas conhecidas. As ferramentas de fuzzing enviam entradas aleatórias para um alvo e observam se ocorrem falhas. As ferramentas de análise estática examinam o código em busca de erros comuns. Essas são ferramentas poderosas, mas são fundamentalmente reativas — encontram o que foram programadas para procurar.
Razões míticas. Ela encadeia observações. Ela entende o contexto. Identificou um bug de 27 anos no OpenBSD — uma vulnerabilidade que estava invisível no código de produção desde 1997. Pesquisadores de segurança humanos vinham analisando essa base de código há quase três décadas. A IA a encontrou em uma fração do tempo.
Não se trata de uma melhoria incremental nas ferramentas. É uma mudança categórica em quem encontra vulnerabilidades primeiro — e com que rapidez o faz.
E a Mythos não permanecerá exclusiva por muito tempo. A OpenAI, o Google DeepMind e outros laboratórios de ponta estão desenvolvendo capacidades comparáveis. A democratização das ferramentas ofensivas baseadas em IA — como o "Spud" e seus sucessores — significa que a capacidade sofisticada de encadeamento de exploits não será mais limitada por orçamentos de Estados-nação por muito mais tempo.
O dilema do defensor: lutar a guerra de ontem.
A maioria dos programas de segurança empresarial foi concebida para um mundo onde os atacantes operam à velocidade humana. Testes de penetração anuais. Varreduras de vulnerabilidades trimestrais. Correções implementadas mensalmente. Nesse mundo, os defensores tinham tempo.
Esse mundo não existe mais.
Ataques com tecnologia de IA Operam continuamente. Não tiram folga nos fins de semana. Não deixam passar uma vulnerabilidade porque o analista estava cansado. Não precisam de meses para encadear um exploit — fazem isso em horas. A diferença entre o tempo de descoberta e o tempo de exploração, na qual os defensores sempre confiaram para ganhar tempo de resposta, está diminuindo drasticamente.
“A diferença entre o tempo necessário para descobrir e o tempo necessário para explorar uma vulnerabilidade, na qual os defensores sempre confiaram para ganhar tempo de resposta, está diminuindo.” - Abbas Kudrati
Considere a superfície de ataque de identidade. À medida que as empresas expandiram suas implementações de IA ativa, criaram milhões de identidades não humanas — contas de serviço, chaves de API, tokens OAuth, credenciais de CI/CD. Muitas delas possuem privilégios excessivos. Muitas não são monitoradas. Muitas sobrevivem aos humanos que as criaram. Um adversário de IA não precisa usar força bruta para invadir seu perímetro — ele raciocina através de sua infraestrutura de identidades, explorando diversas credenciais mal configuradas.
Pergunte a si mesmo: se um agente de IA começasse a sondar seu ambiente esta noite, quanto tempo levaria para encontrar algo? E quanto tempo levaria para você saber?
Se você não consegue responder com segurança às duas partes dessa pergunta, você tem um problema que nenhuma estrutura de conformidade resolverá.
A estrutura APEX: Superando a arquitetura do atacante.
Não é possível superar um atacante com inteligência artificial apenas com atualizações de segurança. A superfície de vulnerabilidade é muito grande, a velocidade muito alta e a capacidade de raciocínio muito sofisticada. O que você pode fazer é superá-lo em arquitetura.
Tenho estado a desenvolver um modelo prático precisamente para este desafio — APEXPlataforma de exposição com inteligência artificial. Cinco pilares, cada um deles aplicável a partir de segunda-feira de manhã.
Parta do pressuposto de um acordo.
Pare de agir como se uma violação fosse uma hipótese futura. A exploração em velocidade de IA significa que sua postura atual pode já ter sido comprometida de maneiras que suas ferramentas ainda não detectaram. Elabore seus controles, seu monitoramento e seus planos de resposta partindo do pressuposto de que algo já está errado.
Na prática, isso significa executar buscas por ameaças partindo do pressuposto de uma violação ativa da segurança, em vez de esperar que os alertas surjam; implantar tecnologias de engano — honeypots, credenciais falsas e contas de serviço de teste — para detectar ameaças impulsionadas por IA. movimento lateral desde o início; e garantindo que seu SIEM (seja Microsoft Sentinel, Splunk ou uma plataforma equivalente) esteja configurado para padrões de autenticação anômalos em identidades humanas e não humanas, e não apenas para detecções baseadas em assinaturas.
Traga sua equipe de identidade para o projeto. resposta a incidentes Desde o primeiro dia. Identidades não humanas — contas de serviço, chaves de API, tokens OAuth — são agora o principal vetor de movimentação lateral para atacantes com velocidade de IA, mas a maioria dos manuais de resposta a incidentes ainda as trata como uma reflexão tardia.
Plataformas que oferecem monitoramento contínuo e em tempo real da autenticação em todas as identidades proporcionam ao seu SOC a visibilidade necessária para detectar mudanças de comportamento em alta velocidade impulsionadas por IA antes que a situação se agrave. Comece fazendo uma pergunta difícil: o que suas ferramentas atuais realmente detectariam se um agente de IA começasse a se movimentar pelo seu ambiente esta noite?
Priorize continuamente
O teste de penetração anual está obsoleto como mecanismo primário de garantia. Substitua os testes episódicos pela priorização contínua de vulnerabilidades assistida por IA. Você não precisa encontrar todas as vulnerabilidades — precisa saber quais um atacante de IA exploraria primeiro e corrigir essas falhas antes que ele o faça.
Para equipes que estão em dúvida sobre por onde começar: procurem soluções que classifiquem as vulnerabilidades por explorabilidade e raio de impacto — não apenas pela gravidade CVSS — e que atualizem essas classificações continuamente conforme o ambiente muda.
As plataformas de proteção de aplicativos nativas da nuvem (CNAPPs), como Wiz, Prisma Cloud ou Microsoft Defender for Cloud, revelam caminhos de ataque completos em todo o seu ambiente de nuvem, mostrando exatamente como um adversário poderia encadear configurações incorretas e vulnerabilidades, em vez de apresentar uma lista simples de CVEs.
Combine isso com uma camada de segurança de identidade: plataformas como Silverfort Fornecer monitoramento contínuo do comportamento de autenticação em todas as identidades — humanas e não humanas — eliminando a lacuna crítica entre a descoberta de vulnerabilidades e a exploração baseada em identidade.
Um atacante de IA não explora apenas falhas de código; ele explora configurações incorretas de identidade e credenciais com privilégios excessivos para se movimentar lateralmente depois de conseguir acesso. A combinação da visibilidade do caminho de ataque proporcionada pelo seu CNAPP e o controle de identidade em tempo real da sua plataforma de segurança de identidade é o que diferencia as organizações que apenas realizam varreduras daquelas que reduzem significativamente sua superfície de risco explorável.
Eliminar a confiança implícita
Toda identidade — humana, não humana e de agente de IA — deve ser verificada novamente a cada passo, sempre. Isso é Confiança zero Em sua essência. Não como um termo de marketing, mas como um princípio arquitetônico aplicado na camada de identidade. Se uma conta de serviço tiver privilégios excessivos, um atacante de IA a encontrará. Seu papel é garantir que, quando isso acontecer, a conta de serviço não contenha nada útil para ser explorado.
eXchange inteligência
Nenhuma organização sozinha possui a visibilidade necessária para se defender contra ameaças na velocidade da IA. O modelo de coalizão Glasswing — compartilhamento de inteligência de ameaças pré-competitivo e específico para cada setor — é o único caminho viável para a defesa coletiva. Junte-se a uma. Ou crie uma. A lacuna de inteligência de ameaças agora é medida em minutos, não em meses.
Vivenciei o poder disso em primeira mão. No início da minha gestão à frente da estratégia de segurança corporativa, participei de uma coalizão setorial de compartilhamento de informações sobre ameaças, quando começaram a surgir indícios de uma campanha coordenada de abuso de credenciais nos ambientes das organizações membros.
A primeira instituição a detectar padrões incomuns de autenticação de contas de serviço — logins de locais geográficos inesperados, acesso a APIs sensíveis às 3h da manhã — compartilhou esses indicadores de comprometimento com os membros da coalizão em questão de horas. Outras três organizações bloquearam os vetores de ataque relevantes antes que o adversário pudesse mudar de estratégia. Nenhuma organização sozinha tinha o quadro completo. Juntos, neutralizamos uma campanha que, isoladamente, cada um de nós levaria dias ou semanas para identificar e conter. Essa experiência consolidou minha convicção: na era das ameaças com a velocidade da IA, a defesa coletiva não é uma opção estratégica. É o ponto de partida.
Aprimore seu ataque
Use as mesmas capacidades de IA na defesa. Implante equipes vermelhas com IA internamente antes que adversários externos as implantem contra você. A mesma capacidade de raciocínio que torna o Mythos perigoso o torna inestimável como ferramenta de defesa. As organizações que vencerão essa corrida são aquelas que usam IA ofensivamente, com segurança, em seus próprios ambientes e de acordo com seu próprio cronograma.
Como é uma boa segurança no mundo dos ataques de IA?
Esta não é uma narrativa apocalíptica. É um ponto de inflexão — e pontos de inflexão recompensam as organizações que se mobilizam primeiro.
Os CISOs que definirão a próxima década da arquitetura de segurança já estão fazendo perguntas diferentes às suas equipes. Não “Estamos com as atualizações em dia?”, mas “Qual seria o primeiro alvo de um ataque de IA?”. Não “Temos um teste de penetração agendado?”, mas “Qual é a nossa superfície de exposição contínua neste momento?”. Não “Quantas contas de serviço temos?”, mas “Quantas delas pertencem de fato a alguém?”.
A tecnologia não é a barreira. A disposição para reformular a questão, sim.
A Mythos descobriu uma falha de segurança de 27 anos que estava invisível desde 1997. A IA não criou essa vulnerabilidade. Mas mudou quem a encontra primeiro. Sua missão — nossa missão — é garantir que os defensores a encontrem antes dos atacantes.
Três ações para este trimestre
- Encomende um serviço assistido por IA superfície de ataque Avaliação. Entenda o que um atacante de IA veria em seu ambiente antes que ele o faça.
- Auditar todas as identidades não humanasContas de serviço, chaves de API, tokens OAuth — identifique o que tem privilégios excessivos, o que não é monitorado e o que não pertence a ninguém.
- Participe ou forme uma coalizão de inteligência de ameaças específica para o seu setor. A defesa coletiva na velocidade da máquina é a única resposta viável às ameaças na velocidade da IA.
