Uma IA escreveu uma exploração zero-day funcional — a Google travou-a a tempo

A exploração visava a autenticação em dois passos, a camada de verificação que protege a maioria das contas que nos importam — correio, banca, armazenamento na nuvem, acessos profissionais. A vulnerabilidade, uma falha de lógica semântica no código Python da ferramenta, permitia a um atacante já com credenciais roubadas saltar a verificação 2FA, ativando uma exceção codificada que os programadores nunca pretenderam expor. A Google identificou o erro, comunicou-o ao fornecedor para que publicasse uma correção e desmontou o ataque planeado antes de este começar. O que torna esta descoberta uma primeira vez não é o erro em si, mas a forma como foi encontrado.

Os analistas da Google sustentam que o código da exploração apresentava marcas inconfundíveis de um grande modelo de linguagem — docstrings em estilo tutorial, formatação muito estruturada e um estilo de escrita descrito como altamente característico dos dados de treino de um LLM. A equipa concluiu com confiança elevada que foi uma IA, e não uma pessoa a trabalhar sozinha, a suportar o grosso do trabalho de descoberta e transformação em arma. A empresa afetada, o grupo criminoso e o nome da ferramenta continuam por divulgar.

A distinção é importante porque é precisamente o tipo de falha que se supunha que as máquinas não sabiam encontrar. Os scanners clássicos procuram crashes e corrupções de memória. Este caso era uma contradição entre a lógica de aplicação do 2FA e uma exceção codificada à mão — o género de bug que um auditor humano cuidadoso poderia descobrir lendo milhares de linhas de código à procura de incoerências. Os modelos de linguagem mais capazes, nota a Google, fazem cada vez melhor essa leitura contextual, a velocidades inalcançáveis por qualquer equipa de auditoria.

Também poderá gostarEndflame anuncia Silent Road: Um videojogo de terror psicológico ambientado no Japão

O relatório descreve ainda um padrão mais amplo que nada tem que ver com grupos criminosos. Um cluster alinhado com Pequim, identificado como UNC2814, utiliza IA para acelerar a investigação de vulnerabilidades em dispositivos embebidos. APT45, grupo norte-coreano, alimentou um modelo com milhares de prompts repetitivos para analisar recursivamente entradas do catálogo CVE e validar provas de conceito. Operadores diferentes, técnica igual: tornar o modelo num assistente de investigação incansável.

O relato da Google tem limites que vale a pena nomear. A empresa não revelou a ferramenta afetada, o ator da ameaça nem o calendário da correção, e pede aos leitores que confiem na conclusão sobre as marcas de IA apenas com base na sua análise interna. Nenhuma das confirmações externas divulgadas esta semana acrescenta um exame forense independente do próprio código da exploração. A avaliação de confiança elevada é a palavra do GTIG contra o silêncio do grupo criminoso. Continua a ser verdade que a falha de fundo — uma exceção codificada à mão — é exatamente o tipo de descuido que programadores humanos cometeram durante décadas sem qualquer ajuda de IA. O modelo poderá ter acelerado a descoberta; a falha é mais antiga do que o sistema que a encontrou.

Para o utilizador comum não há uma ação imediata — o erro está em software gerido por equipas de TI, não em equipamentos pessoais — mas a implicação de fundo é direta. O perímetro defensivo em que confiamos, dos gestores de palavras-passe aos início de sessão únicos empresariais, foi pensado para atacantes humanos a velocidade humana. Um atacante assistido por IA lê uma base de código como um engenheiro experiente lê um parágrafo. Os defensores terão de aprender a fazer o mesmo.

O confirmado é que o fornecedor afetado foi notificado e está a distribuir a correção. A análise mais ampla foi publicada no âmbito da série de inteligência de ameaças da Google Cloud que segue o uso de IA em segurança ofensiva, a 11 de maio de 2026. O analista-chefe de ameaças da Google, John Hultquist, disse a jornalistas nos dias seguintes que a corrida entre a IA e os defensores já começou e não está prestes a começar. Espera-se um relatório complementar sobre ferramentas apoiadas em IA antes do fim do segundo trimestre.

Mais artigos semelhantes

SpaceX apresenta o maior IPO da história: 75 mil milhões a 1,75 biliões de dólares

FLOW Digital Infrastructure Inicia a Construção de um Grande Campus de Centros de Dados no Centro de Tóquio

Novo Jogo Móvel “Touhou Gensou Eclipse” Lançado no Mercado Japonês

Quando o algoritmo audita a física: o colapso silencioso da autoridade da revisão por pares

O Fitbit Air sem ecrã da Google chega aos 99 dólares e devolve silêncio ao pulso

DJI Osmo Pocket 4: a câmara mais capaz da marca chega ao mundo todo, exceto aos EUA