O engenheiro de software Jeff Kaufman (jefftk) publicou em 8 de maio o artigo “AI is Breaking Two Vulnerability Cultures”, defendendo que a IA está quebrando, ao mesmo tempo, duas culturas de tratamento de vulnerabilidades que coexistem há muito tempo — divulgação coordenada (coordinated disclosure) e “bugs are bugs” — ambos baseadas no pressuposto de que os atacantes têm uma “lenta velocidade de detecção”, o que agora foi superado por técnicas de varredura automatizada pela IA. O texto original do blog de Kaufman e alcançou mais de 200 de pontuação no Hacker News, estando entre as matérias de observação de segurança com maior discussão na comunidade de desenvolvedores nesta semana.
Duas culturas de vulnerabilidades: divulgação coordenada vs “bugs are bugs”
Kaufman organiza essas duas estruturas culturais:
Divulgação coordenada (coordinated disclosure) — o descobridor avisa os mantenedores em particular, dá um prazo típico de 90 dias para correção e só então divulga publicamente. Por trás está a suposição de que o atacante precisa de tempo para descobrir independentemente a mesma vulnerabilidade
“Bugs are Bugs” (reparos silenciosos) — uma prática comum em projetos open source como o Linux: ao corrigir, não se marca especialmente como “correção de segurança”, dependem de “afogar” os reparos de segurança no volume de envios e evitam chamar atenção dos atacantes
Essas duas culturas puderam coexistir no passado porque os atacantes não tinham ferramentas “rápidas, automáticas e de baixo custo” para escanear todo o histórico de envios ou procurar simultaneamente a mesma vulnerabilidade. A IA mudou esse pressuposto.
Impacto da IA sobre “reparos silenciosos”: varredura de commits ficou mais barata
Impacto específico da IA em projetos open source no estilo Linux:
Antes: o atacante precisava revisar envios um a um, demandando muita mão de obra e tempo; “afogar no volume de envios” era uma cobertura eficaz
Agora: a IA pode, com baixo custo, escanear o histórico de envios, identificar automaticamente commits que “parecem correções de segurança” — mesmo que o autor não deixe isso explícito
Efeito: a discrição dos reparos silenciosos está perdendo rapidamente a eficácia, e o período de amortecimento “aguardando para implantar após o reparo” está sendo comprimido
Kaufman cita um caso concreto: “examinar commits” está ficando cada vez mais atrativo, porque a avaliação de cada mudança “está ficando cada vez mais barata e cada vez mais eficaz” para a IA. Isso significa que no futuro projetos open source não poderão mais depender da vantagem tradicional de “corrigir antes que os atacantes percebam”.
Impacto da IA sobre a divulgação coordenada: o embargo de 90 dias vira um efeito inverso
A base da cultura de divulgação coordenada é o “período de embargo” (embargo): o descobridor se compromete a não publicar antes de os mantenedores corrigirem — mas a IA permite que vários times possam escanear simultaneamente a mesma vulnerabilidade:
Exemplo concreto: uma vulnerabilidade reportada pelo pesquisador Hyunwoo Kim foi descoberta de forma independente apenas 9 horas depois
Vários times com varreduras assistidas por IA operam de maneira sincronizada; um embargo longo demais passa a criar uma sensação “falsa” de falta de urgência
Se outras pessoas conseguem encontrá-la em 9 horas, um embargo de 90 dias dá aos verdadeiros atacantes uma janela de ataque de 89 dias 23 horas
A conclusão de Kaufman é que no futuro devem ser adotados “embargos muito curtos” e, conforme as capacidades da IA aumentem, isso tende a ficar cada vez mais curto. O ponto importante é que a aceleração via IA não favorece apenas o atacante — defensores também podem usar IA para acelerar correções e implantação, competindo em tempo real dentro de janelas comprimidas.
Eventos concretos para acompanhar na sequência: se grandes projetos como Linux Kernel e Project Zero vão atualizar diretrizes de prazos de divulgação, o avanço da comercialização de ferramentas de varredura automatizada de vulnerabilidades por IA (Semgrep, CodeQL etc.) e as estratégias concretas que as equipes de segurança corporativa vão adotar para lidar com o “duplo uso” da IA.
Este artigo, “Jeff Kaufman: AI ao mesmo tempo rompe duas culturas de vulnerabilidades e embargo de 90 dias vira efeito inverso”, apareceu primeiro em 鏈新聞 ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
