O engenheiro de software Jeff Kaufman (jefftk) publicou em 8 de maio o artigo “AI is Breaking Two Vulnerability Cultures”, defendendo que a IA está quebrando, ao mesmo tempo, duas culturas de tratamento de vulnerabilidades que coexistem há muito tempo — divulgação coordenada (coordinated disclosure) e “bugs are bugs” — ambos baseadas no pressuposto de que os atacantes têm uma “lenta velocidade de detecção”, o que agora foi superado por técnicas de varredura automatizada pela IA. O texto original do blog de Kaufman e alcançou mais de 200 de pontuação no Hacker News, estando entre as matérias de observação de segurança com maior discussão na comunidade de desenvolvedores nesta semana.
Duas culturas de vulnerabilidades: divulgação coordenada vs “bugs are bugs”
Kaufman organiza essas duas estruturas culturais:
Divulgação coordenada (coordinated disclosure) — o descobridor avisa os mantenedores em particular, dá um prazo típico de 90 dias para correção e só então divulga publicamente. Por trás está a suposição de que o atacante precisa de tempo para descobrir independentemente a mesma vulnerabilidade
“Bugs are Bugs” (reparos silenciosos) — uma prática comum em projetos open source como o Linux: ao corrigir, não se marca especialmente como “correção de segurança”, dependem de “afogar” os reparos de segurança no volume de envios e evitam chamar atenção dos atacantes
Essas duas culturas puderam coexistir no passado porque os atacantes não tinham ferramentas “rápidas, automáticas e de baixo custo” para escanear todo o histórico de envios ou procurar simultaneamente a mesma vulnerabilidade. A IA mudou esse pressuposto.
Impacto da IA sobre “reparos silenciosos”: varredura de commits ficou mais barata
Impacto específico da IA em projetos open source no estilo Linux:
Antes: o atacante precisava revisar envios um a um, demandando muita mão de obra e tempo; “afogar no volume de envios” era uma cobertura eficaz
Agora: a IA pode, com baixo custo, escanear o histórico de envios, identificar automaticamente commits que “parecem correções de segurança” — mesmo que o autor não deixe isso explícito
Efeito: a discrição dos reparos silenciosos está perdendo rapidamente a eficácia, e o período de amortecimento “aguardando para implantar após o reparo” está sendo comprimido
Kaufman cita um caso concreto: “examinar commits” está ficando cada vez mais atrativo, porque a avaliação de cada mudança “está ficando cada vez mais barata e cada vez mais eficaz” para a IA. Isso significa que no futuro projetos open source não poderão mais depender da vantagem tradicional de “corrigir antes que os atacantes percebam”.
Impacto da IA sobre a divulgação coordenada: o embargo de 90 dias vira um efeito inverso
A base da cultura de divulgação coordenada é o “período de embargo” (embargo): o descobridor se compromete a não publicar antes de os mantenedores corrigirem — mas a IA permite que vários times possam escanear simultaneamente a mesma vulnerabilidade:
Exemplo concreto: uma vulnerabilidade reportada pelo pesquisador Hyunwoo Kim foi descoberta de forma independente apenas 9 horas depois
Vários times com varreduras assistidas por IA operam de maneira sincronizada; um embargo longo demais passa a criar uma sensação “falsa” de falta de urgência
Se outras pessoas conseguem encontrá-la em 9 horas, um embargo de 90 dias dá aos verdadeiros atacantes uma janela de ataque de 89 dias 23 horas
A conclusão de Kaufman é que no futuro devem ser adotados “embargos muito curtos” e, conforme as capacidades da IA aumentem, isso tende a ficar cada vez mais curto. O ponto importante é que a aceleração via IA não favorece apenas o atacante — defensores também podem usar IA para acelerar correções e implantação, competindo em tempo real dentro de janelas comprimidas.
Eventos concretos para acompanhar na sequência: se grandes projetos como Linux Kernel e Project Zero vão atualizar diretrizes de prazos de divulgação, o avanço da comercialização de ferramentas de varredura automatizada de vulnerabilidades por IA (Semgrep, CodeQL etc.) e as estratégias concretas que as equipes de segurança corporativa vão adotar para lidar com o “duplo uso” da IA.
Este artigo, “Jeff Kaufman: AI ao mesmo tempo rompe duas culturas de vulnerabilidades e embargo de 90 dias vira efeito inverso”, apareceu primeiro em 鏈新聞 ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Nasce o ecossistema de Space Computing da NVIDIA, com o Space-1 Vera Rubin levando o poder de computação de IA do nível de data centers para o espaço
A NVIDIA Space Computing será apresentada na GTC 2026 e, recentemente, a própria NVIDIA divulgou mais informações, tentando levar a plataforma de computação acelerada dos data centers terrestres para órbitas espaciais. O projeto se concentra na infraestrutura de IA necessária para as missões espaciais da próxima geração, permitindo que satélites, plataformas orbitais e estações terrestres usem GPUs NVIDIA e módulos de computação de borda para acelerar o processamento de imagens, dados de sensore
ChainNewsAbmedia4h atrás
O Chrome baixa automaticamente um modelo de IA Gemini Nano com vários gigabytes em 9 de maio, gerando preocupações de segurança na comunidade cripto
De acordo com a BlockBeats, em 9 de maio o Chrome baixou automaticamente para os dispositivos dos usuários um arquivo de modelo de IA com vários gigabytes (Gemini Nano) para detecção local de fraude, resumo de páginas da web e recursos de IA, sem consentimento explícito. Embora o Google tenha afirmado que a execução local de IA melhora a privacidade e a segurança, usuários de cripto levantaram preocupações sobre a falta de transparência e de autorização explícita. À medida que navegadores cada v
GateNews5h atrás
Juiz dos EUA decide que cortes de subsídio do DOGE foram ilegais após usar ChatGPT e palavras-chave de DEI, e bloqueia a aplicação na quinta-feira
De acordo com a ABC News, na quinta-feira uma juíza federal dos EUA decidiu que os cortes de verbas realizados pelo DOGE, apoiado por Elon Musk, foram ilegais. A juíza distrital dos EUA Colleen McMahon, em Nova York, disse que a equipe usou o ChatGPT e buscas por palavras-chave incluindo "DEI", "Equity", "Inclusion" e "LGBTQ" para ajudar a encerrar programas de financiamento em todo o National Endowment for the Humanities. A juíza impediu a administração Trump de aplicar as cancelamentos contest
GateNews6h atrás
Oficial do BCE diz que riscos de IA exigem revisão da infraestrutura financeira no sábado
José Luis Escrivá, membro do Conselho de Governadores do Banco Central Europeu e governador do Banco da Espanha, disse no sábado que os bancos centrais precisam avaliar a resiliência da infraestrutura financeira e da cibersegurança diante do aumento da inteligência artificial. “Os desenvolvimentos recentes em inteligência artificial nos obrigam a reavaliar a robustez da nossa infraestrutura financeira e da nossa cibersegurança”, disse Escrivá, em um evento em Tarragona. Ele também destacou o pap
GateNews7h atrás
A ação da Cloudflare despenca 23,62% em 8 de maio após resultados do 1T e anúncio de corte de 1.100 funcionários
As ações da Cloudflare caíram 23,62% em 8 de maio, para US$ 196,13 por ação, após a divulgação dos resultados do primeiro trimestre da empresa e o anúncio de aproximadamente 1.100 demissões. Embora a receita do 1º trimestre de US$ 640 milhões tenha superado as expectativas, com crescimento de 34% em relação ao ano anterior, a orientação de receita para o 2º trimestre de US$ 664–US$ 665 milhões ficou abaixo da expectativa anterior do mercado, de US$ 666 milhões. As demissões, que representam cerc
GateNews8h atrás
Helsing mira captar recursos com avaliação de US$ 18 bilhões
De acordo com o Financial Times, a Helsing, uma startup alemã de drones com IA, planeja captar novo financiamento em uma avaliação de aproximadamente US$ 18 bilhões.
GateNews9h atrás
