A política padrão de 90 dias para a divulgação de vulnerabilidades de segurança parece ter chegado ao fim. As ferramentas de inteligência artificial estão a acelerar drasticamente a descoberta e a exploração de falhas em software, o que deixa sistemas de todo o mundo expostos a ataques de forma quase imediata.
O investigador de segurança Himanshu Anand refere que a janela tradicional de três meses, dada aos programadores para corrigir problemas antes de estes serem tornados públicos, já não protege ninguém. Num artigo recente, o especialista indica que os piratas informáticos estão a usar modelos de linguagem de grande escala (LLM) para analisar código e encontrar vulnerabilidades a uma velocidade sem precedentes. Se as equipas de desenvolvimento não integrarem estas ferramentas nas suas verificações de segurança, já perderam a batalha.
O fim do período de mitigação
A grande vantagem das ferramentas de inteligência artificial não reside numa inteligência superior à humana na hora de programar, mas sim na capacidade de operar ininterruptamente e com uma eficácia brutal no reconhecimento de padrões. A esmagadora maioria das falhas de segurança tem origem em maus hábitos de programação específicos, algo que um bot consegue detectar rapidamente e de modo repetido.
Recentemente, quase todas as distribuições Linux sofreram com as vulnerabilidades Copy Fail e Dirty Frag, que permitiam obter acesso de administrador através de uma conta local. As correcções não foram disponibilizadas a tempo porque o período entre a descoberta e a publicação foi demasiado curto. No caso do Dirty Frag, a falha tornou-se pública em pouco mais de uma semana, pois assumiu-se que os ataques já estavam a circular livremente, não havendo nada a ganhar em manter o segredo.
Para ilustrar a rapidez deste novo paradigma, Anand partilhou uma experiência recente com uma loja online. Depois de descobrir e reportar um erro que permitia comprar artigos caros a custo zero, recebeu a resposta de que dez outros investigadores já tinham reportado o mesmo problema ao longo de seis semanas. A conclusão foi clara e mostra que os caçadores de falhas, auxiliados por inteligência artificial, estão a convergir para os mesmos erros quase em simultâneo.
A urgência de respostas imediatas
O engenheiro de triagem conhecido como @d0rsky apoia esta visão, ao notar que, assim que uma nova vulnerabilidade é descoberta, surge uma onda de alertas duplicados em poucos dias. O profissional questiona o que impede os piratas informáticos de fazerem o mesmo antes de o problema ser resolvido. Para provar este ponto, Anand conseguiu criar um ataque para uma vulnerabilidade já corrigida na estrutura React em apenas 30 minutos, ao utilizar ferramentas LLM.
Neste cenário, os ciclos mensais de actualizações estão obsoletos. O investigador aconselha os programadores a tratar qualquer problema crítico de segurança com prioridade máxima e a resolvê-lo de imediato.
Software aberto e fechado na mira
O software de código aberto beneficia de elevados padrões de segurança devido ao escrutínio público, mas a inteligência artificial transforma esta característica numa faca de dois gumes. Ainda assim, a comunidade consegue reagir depressa. A equipa da Mozilla, responsável pelo conhecido browser Firefox, provou isso mesmo ao publicar 423 correcções de segurança apenas no mês de Abril.
Quanto ao software de código fechado, o cenário também exige cautela. Os bots são igualmente eficazes a descompilar código e a analisar redes para executar tarefas complexas. Segundo a mesma fonte, é muito provável que gigantes tecnológicas como a Microsoft, a Apple ou a Google enfrentem desafios semelhantes num futuro próximo, à medida que a inteligência artificial continua a redefinir as regras da segurança informática.
