Os ataques cibernéticos habilitados por IA aumentaram 89 por cento em 2025, de acordo com a CrowdStrike, e o tempo médio de permanência dos atacantes diminuiu para apenas 29 minutos - uma queda de 65 por cento em relação ao ano anterior. A aceleração rápida coincide com o lançamento do modelo Mythos da Anthropic, um poderoso sistema de IA projetado para automatizar a descoberta de vulnerabilidades e a geração de exploits.

Especialistas do setor afirmam que o Mythos pode mudar o equilíbrio em favor dos atacantes. "O jogo é assimétrico; é mais fácil identificar e explorar do que corrigir tudo a tempo", disse uma fonte próxima a um laboratório de IA de ponta à Financial Times. O próprio Graham da Anthropic ecoou essas preocupações, observando que as empresas podem descobrir "mais vulnerabilidades do que poderiam lidar no futuro próximo" se implantarem o Mythos sem salvaguardas rigorosas.

No último setembro, a Anthropic detectou a primeira campanha de espionagem cibernética impulsionada por IA atribuída a um grupo patrocinado pelo Estado chinês. Os atores armaram o código Claude da Anthropic, um assistente de codificação, para infiltrar cerca de 30 alvos globais, variando de grandes empresas de tecnologia e instituições financeiras a fabricantes de produtos químicos e agências governamentais. Embora a campanha tenha alcançado sucesso limitado, ela exigiu supervisão humana mínima, destacando o potencial para agentes de IA operarem de forma autônoma em ambientes hostis.

O pesquisador de software Simon Willison alertou que os agentes de IA criam uma "trifecta letal" de risco: acesso a dados privados, exposição a conteúdo não confiável da internet e a capacidade de se comunicar externamente. Profissionais de segurança recomendam restringir os agentes de IA a apenas dois desses três domínios para mitigar o perigo. No entanto, muitos especialistas em IA argumentam que o valor total dos agentes vem do acesso irrestrito, criando uma tensão entre utilidade e segurança.

"A notícia ruim é que não há uma boa solução até hoje", disse outra fonte próxima a um laboratório de IA. "A notícia boa é que [os agentes de IA] ainda não estão em ambientes críticos de missão, como a bolsa de valores, o registro bancário ou o aeroporto." Essa ressalva destaca os limites atuais da implantação de IA em infraestruturas de alto risco, mas não diminui a urgência da ameaça.

Potencial para Uso Defensivo

O ex-pesquisador da Anthropic e do Google DeepMind, Stanislav Fort, agora fundador da plataforma de segurança de IA AISLE, ofereceu uma visão mais otimista. Ele acredita que a IA poderá eventualmente catalogar e remediar um "repositório finito" de falhas de segurança históricas. Até o momento, os modelos de IA descobriram milhares de vulnerabilidades zero-day - fraquezas desconhecidas que permaneceram no software por anos. Fort observou: "Estamos gradualmente encontrando menos e menos zero days, dos piores tipos que podemos imaginar." Se essas lacunas forem fechadas, a tecnologia poderá mudar de uma arma para um escudo, bloqueando proativamente as ameaças e elevando a linha de base de segurança geral.

Por enquanto, o equilíbrio permanece precário. A combinação de ciclos de ataque mais rápidos, ferramentas de IA como o Mythos e a facilidade de automatizar exploits complexos força os defensores a reavaliar as práticas de segurança tradicionais. As organizações podem precisar adotar uma governança de IA mais rigorosa, limitar as permissões dos agentes e investir em ferramentas de defesa aumentadas por IA para manter o ritmo.

Relatórios adicionais de Kieran Smith, em Londres.

Usado: News Factory APP - descoberta e automação de notícias - ChatGPT para Empresas