O engenheiro de software Jeff Kaufman (jefftk) publicou, a 8 de maio, o artigo “AI is Breaking Two Vulnerability Cultures”, defendendo que a IA está, em simultâneo, a quebrar duas culturas de gestão de falhas de segurança que coexistem há muito tempo — divulgação coordenada (coordinated disclosure) e “bugs are bugs” (“correções silenciosas”) —, bem como a premissa de que as “velocidades de deteção dos atacantes” são lentas e que sustentam as duas estratégias, sendo agora ultrapassada por tecnologias de varrimento automatizado por IA. O blogue de Kaufman, originalmente publicado por ele, obteve mais de 200 pontos de entusiasmo no Hacker News e está entre os artigos de observação de segurança com maior discussão na comunidade de developers esta semana.
Duas culturas de falhas: divulgação coordenada vs “correções silenciosas”
Os dois quadros culturais compilados por Kaufman:
Divulgação coordenada (coordinated disclosure) — o descobridor notifica em privado o responsável pela manutenção, concedendo uma janela típica de 90 dias para corrigir, antes de tornar a falha publicamente revelada. A premissa por trás disto: o atacante precisa de tempo para detetar independentemente a mesma vulnerabilidade
“Bugs are Bugs” — correção silenciosa — prática comum em projetos open source como o Linux: as correções não são particularmente marcadas como correções de segurança, a segurança é “afogada” através do volume de submissões, evitando chamar a atenção dos atacantes
As duas culturas puderam coexistir no passado porque os atacantes não tinham ferramentas “rápidas, automáticas e de baixo custo” para varrer todo o histórico de submissões ou procurar simultaneamente a mesma vulnerabilidade. A IA mudou esse pressuposto.
O impacto da IA nas “correções silenciosas”: varrimento de commit fica mais barato
Impacto concreto da IA em projetos open source com estilo Linux:
Antes: o atacante precisava de analisar um a um os commits, exigindo muita mão de obra e tempo; “afogar no volume de submissões” era uma cobertura eficaz
Agora: a IA consegue, a baixo custo, varrer o histórico de commits, identificar automaticamente commits que “parecem” correções de segurança, mesmo que o autor não o indique explicitamente
Efeito: a discrição das “correções silenciosas” está rapidamente a perder eficácia, e o período de “espera pela implementação após a correção” está a ser comprimido
Kaufman cita um caso concreto: “Examinar commits (examining commits) tem vindo a tornar-se cada vez mais apelativo”, porque a avaliação de cada mudança por IA “está a ficar cada vez mais barata e cada vez mais eficaz”. Isto significa que, no futuro, os projetos open source já não poderão depender da vantagem tradicional de “corrigir mais depressa do que a atenção dos atacantes”.
O impacto da IA na “divulgação coordenada”: o período de embargo de 90 dias pode tornar-se contraproducente
A base da cultura de divulgação coordenada é o “embargo” — o descobridor compromete-se a não publicar antes de o responsável pela manutenção corrigir; mas a IA permite que várias equipas possam fazer varreduras sincronizadas da mesma vulnerabilidade:
Caso concreto: uma vulnerabilidade reportada pela investigadora Hyunwoo Kim foi detetada de forma independente apenas 9 horas depois
Várias equipas assistidas por IA sincronizam-se para varrer e, com um longo período de embargo, cria-se um “falso sentimento de falta de urgência”
Quando outros conseguem encontrá-la em 9 horas, um embargo de 90 dias dá aos verdadeiros atacantes uma janela de ataque de 89 dias e 23 horas
A conclusão de Kaufman é a seguinte: no futuro, deve adotar-se “embargos muito curtos” (very short embargoes) e, à medida que as capacidades da IA melhoram, esses embargos tendem a encurtar cada vez mais. O mais importante é que a aceleração pela IA não beneficia apenas os atacantes — os defensores também podem usar IA para acelerar a correção e a implementação, competindo entre si dentro de janelas de tempo comprimidas.
Eventos concretos que poderão ser acompanhados mais adiante: se grandes projetos como o Linux Kernel e o Project Zero irão atualizar as orientações de calendário de divulgação; o progresso de comercialização de ferramentas de varrimento automatizado de vulnerabilidades com IA (Semgrep, CodeQL, etc.); e as estratégias concretas de resposta das equipas de segurança de empresas ao “duplo uso acelerado da IA”.
Este artigo de Jeff Kaufman: AI está a quebrar duas culturas de falhas de segurança e o embargo de 90 dias está a tornar-se contraproducente apareceu pela primeira vez em 鏈新聞 ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A Helsing pretende angariar financiamento numa avaliação de 18 mil milhões de dólares
De acordo com o Financial Times, a Helsing, uma startup alemã de drones alimentados por IA, está a planear angariar novo financiamento numa avaliação de cerca de 18 mil milhões de dólares.
GateNews25m atrás
O co-matemático de IA do Google DeepMind atinge 47,9% no FrontierMath Tier 4, supera o GPT-5.5 Pro e resolve 3 problemas previamente insolúveis
A Google DeepMind lançou o co-matemático de IA, um assistente de investigação matemática multi-agente, alcançando 47,9% de precisão no benchmark FrontierMath Tier 4, superando o recorde anterior do GPT-5.5 Pro de 39,6% a 9 de maio. O sistema resolveu 23 de 48 problemas, incluindo 3 que todos os modelos anteriores falharam em resolver. Construído sobre o Gemini 3.1 Pro, a arquitetura usa um design hierárquico com um agente coordenador de projeto que distribui tarefas por sub-agentes encarregues d
GateNews33m atrás
O sistema de recompensas da OpenAI pontua inadvertidamente cadeias de pensamento em 6 modelos, incluindo GPT-5.4
De acordo com a equipa de alinhamento da OpenAI, a empresa descobriu recentemente um erro crítico de treino que afectava 6 grandes modelos de linguagem, incluindo o GPT-5.4. Pensamento: o mecanismo de recompensa avaliou inadvertidamente cadeias de pensamento do modelo — o processo interno de raciocínio antes de gerar respostas. O GPT-5.5 não foi afectado. O incidente viola um princípio fundamental de segurança em IA de que as cadeias de pensamento nunca devem ser avaliadas, pois fazê-lo poderia
GateNews1h atrás
A Alibaba não realizou negociações com a DeepSeek, esclarecem fontes do mercado a 9 de maio
De acordo com fontes do mercado citadas pelo Caixin Daily a 9 de Maio, a Alibaba não realizou negociações com a DeepSeek relativamente a financiamento. Este esclarecimento surge na sequência de anteriores notícias que sugeriam que as conversações entre as duas empresas teriam falhado. A DeepSeek lançou em Abril uma importante ronda de captação de fundos, que despertou interesse tanto da Tencent como da Alibaba.
GateNews2h atrás
A OpenAI lança uma ferramenta de migração do Codex para importar configurações de assistentes de IA concorrentes
De acordo com OneMillionAI (Beating), a OpenAI lançou uma ferramenta de migração no Codex que permite aos utilizadores importar configurações e dados de outros assistentes de programação de IA, incluindo o Claude Code. A ferramenta, anunciada através da conta oficial de Twitter da OpenAI, transfere automaticamente prompts do sistema, skills personalizadas, o histórico de chat de 30 dias, configurações de servidores MCP, hooks e definições de sub-agentes. A OpenAI referiu que a ferramenta de migr
GateNews2h atrás
A ByteDance aumenta a sua despesa com infraestruturas de IA em 25% para 200 mil milhões de yuan em 9 de maio
De acordo com notícias da comunicação social, a ByteDance aumentou a sua prevista despesa em infraestruturas de IA em 25% para 200 mil milhões de iuanes em 2026, à medida que a empresa acelera a implementação de inteligência artificial num contexto de aumento dos chips de memória
GateNews3h atrás
