O engenheiro de software Jeff Kaufman (jefftk) publicou, a 8 de maio, o artigo “AI is Breaking Two Vulnerability Cultures”, defendendo que a IA está, em simultâneo, a quebrar duas culturas de gestão de falhas de segurança que coexistem há muito tempo — divulgação coordenada (coordinated disclosure) e “bugs are bugs” (“correções silenciosas”) —, bem como a premissa de que as “velocidades de deteção dos atacantes” são lentas e que sustentam as duas estratégias, sendo agora ultrapassada por tecnologias de varrimento automatizado por IA. O blogue de Kaufman, originalmente publicado por ele, obteve mais de 200 pontos de entusiasmo no Hacker News e está entre os artigos de observação de segurança com maior discussão na comunidade de developers esta semana.
Duas culturas de falhas: divulgação coordenada vs “correções silenciosas”
Os dois quadros culturais compilados por Kaufman:
Divulgação coordenada (coordinated disclosure) — o descobridor notifica em privado o responsável pela manutenção, concedendo uma janela típica de 90 dias para corrigir, antes de tornar a falha publicamente revelada. A premissa por trás disto: o atacante precisa de tempo para detetar independentemente a mesma vulnerabilidade
“Bugs are Bugs” — correção silenciosa — prática comum em projetos open source como o Linux: as correções não são particularmente marcadas como correções de segurança, a segurança é “afogada” através do volume de submissões, evitando chamar a atenção dos atacantes
As duas culturas puderam coexistir no passado porque os atacantes não tinham ferramentas “rápidas, automáticas e de baixo custo” para varrer todo o histórico de submissões ou procurar simultaneamente a mesma vulnerabilidade. A IA mudou esse pressuposto.
O impacto da IA nas “correções silenciosas”: varrimento de commit fica mais barato
Impacto concreto da IA em projetos open source com estilo Linux:
Antes: o atacante precisava de analisar um a um os commits, exigindo muita mão de obra e tempo; “afogar no volume de submissões” era uma cobertura eficaz
Agora: a IA consegue, a baixo custo, varrer o histórico de commits, identificar automaticamente commits que “parecem” correções de segurança, mesmo que o autor não o indique explicitamente
Efeito: a discrição das “correções silenciosas” está rapidamente a perder eficácia, e o período de “espera pela implementação após a correção” está a ser comprimido
Kaufman cita um caso concreto: “Examinar commits (examining commits) tem vindo a tornar-se cada vez mais apelativo”, porque a avaliação de cada mudança por IA “está a ficar cada vez mais barata e cada vez mais eficaz”. Isto significa que, no futuro, os projetos open source já não poderão depender da vantagem tradicional de “corrigir mais depressa do que a atenção dos atacantes”.
O impacto da IA na “divulgação coordenada”: o período de embargo de 90 dias pode tornar-se contraproducente
A base da cultura de divulgação coordenada é o “embargo” — o descobridor compromete-se a não publicar antes de o responsável pela manutenção corrigir; mas a IA permite que várias equipas possam fazer varreduras sincronizadas da mesma vulnerabilidade:
Caso concreto: uma vulnerabilidade reportada pela investigadora Hyunwoo Kim foi detetada de forma independente apenas 9 horas depois
Várias equipas assistidas por IA sincronizam-se para varrer e, com um longo período de embargo, cria-se um “falso sentimento de falta de urgência”
Quando outros conseguem encontrá-la em 9 horas, um embargo de 90 dias dá aos verdadeiros atacantes uma janela de ataque de 89 dias e 23 horas
A conclusão de Kaufman é a seguinte: no futuro, deve adotar-se “embargos muito curtos” (very short embargoes) e, à medida que as capacidades da IA melhoram, esses embargos tendem a encurtar cada vez mais. O mais importante é que a aceleração pela IA não beneficia apenas os atacantes — os defensores também podem usar IA para acelerar a correção e a implementação, competindo entre si dentro de janelas de tempo comprimidas.
Eventos concretos que poderão ser acompanhados mais adiante: se grandes projetos como o Linux Kernel e o Project Zero irão atualizar as orientações de calendário de divulgação; o progresso de comercialização de ferramentas de varrimento automatizado de vulnerabilidades com IA (Semgrep, CodeQL, etc.); e as estratégias concretas de resposta das equipas de segurança de empresas ao “duplo uso acelerado da IA”.
Este artigo de Jeff Kaufman: AI está a quebrar duas culturas de falhas de segurança e o embargo de 90 dias está a tornar-se contraproducente apareceu pela primeira vez em 鏈新聞 ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
