Dois movimentos do governo dos EUA, cada um a seu modo, redefinem como o setor público gerencia vulnerabilidades e como a IA entra na defesa cibernética federal. Na Tech86, acompanhamos essas mudanças de perto porque o que a CISA decide hoje para agências federais tende a se tornar o padrão de mercado amanhã.
BOD 26-04: CVSS deixou de ser o driver
Segundo a CISA, o BOD 26-04 substitui o BOD 22-01 e o BOD 19-02, que usavam o CVSS como principal critério de priorização de patches. O novo modelo é diferente: 4 fatores binários determinam o prazo de correção.
Os fatores são perguntas de sim ou não: o ativo está exposto publicamente? A vulnerabilidade está no catálogo KEV (Known Exploited Vulnerabilities)? A exploração é automatizável? O atacante ganha controle total ou parcial? Quatro fatores binários geram 16 combinações possíveis. O tier mais alto exige correção em 3 dias corridos. Segundo a CISA, esse tier é atingido quando a vulnerabilidade está no KEV e dá controle total ao atacante, independentemente de exposição ou automação. Alternativamente, ativo exposto + exploração automatizável + controle total também chega ao tier de 3 dias, mesmo sem KEV.
Segundo a CISA, em uma grande agência civil, apenas cerca de 1% das vulnerabilidades cairão no tier de 3 dias. Mais de 60% podem ser diferidas para o próximo ciclo de upgrade. Isso é uma mudança estrutural: o foco deixa de ser "corrigir tudo com CVSS alto" e passa a ser "corrigir o que realmente importa primeiro".
Na Tech86, vimos essa dinâmica na prática. Patch parity — aplicar patches em todos os ativos igualmente — não é o mesmo que coverage parity — garantir que os ativos mais críticos estão protegidos primeiro. O BOD 26-04 formaliza o que quem opera segurança já sabia: priorizar por risco real supera priorizar por score genérico.
A ameaça que patching não resolve
Em publicação complementar, segundo a CISA, atores de ameaça "não comprometem redes centrais primariamente através de vulnerabilidades de produto." Usam credenciais válidas e configurações exploráveis — a tática conhecida como living off the land (LOTL). Isso é consistente com o que observamos em operações reais: o caminho mais provável de comprometimento não é um zero-day, é uma credencial vazada combinada com falta de MFA.
LOTL é endereçado por hardening, segmentação de rede e MFA resistente a phishing, não por patching. A CISA está dizendo explicitamente que aplicar patches não resolve o vetor de ataque mais provável. Isso não significa que patching é irrelevante — significa que patching sozinho é insuficiente.
A compressão de tempo que a IA trouxe para a janela de vulnerabilidade torna isso mais urgente. Se a janela entre descoberta e exploração colapsou, priorizar o que realmente importa não é otimização — é sobrevivência.
EO 14409: IA como ferramenta de defesa
Segundo a Casa Branca, a Executive Order 14409, assinada em 2 de junho de 2026, estabelece prazos concretos. Em 30 dias, a CISA deve emitir BODs para acelerar a defesa de sistemas federais civis, expandir ferramentas defensivas habilitadas por IA e facilitar acesso a covered frontier models para agências federais, autoridades estaduais e locais e infraestrutura crítica — incluindo hospitais rurais, bancos comunitários e utilidades locais. Segundo a CISA, o BOD 26-04, emitido dentro do prazo estabelecido pela EO 14409, foi emitido em 10 de junho.
Em 60 dias, segundo a EO, a NSA deve desenvolver benchmarking classificado para definir o que constitui um covered frontier model. A ordem também estabelece um framework voluntário para desenvolvedores oferecerem acesso de até 30 dias antes do release — prazo reduzido em relação aos 90 dias de drafts anteriores, segundo publicações oficiais e rascunhos anteriores da EO.
A EO forma um AI Cybersecurity Clearinghouse (central de intercâmbio), liderado pelo Tesouro com participação da NSA, CISA e National Cyber Director, para coordenar scanning, validação e distribuição de patches em colaboração voluntária com a indústria de IA. E a Seção 3(c) é clara: nada autoriza licenciamento governamental obrigatório, pre-clearance (pré-aprovação) ou permitting (licenciamento) para modelos de IA. O framework é voluntário.
O paradoxo de capacidade
Segundo reportes de veículos especializados, a CISA perdeu aproximadamente um terço da força de trabalho entre perdas permanentes, impactos temporários de shutdown e cortes propostos. A proposta orçamentária de FY2027 propõe cortar 867 posições. O acting director Nick Andersen reconheceu impactos de capacidade, segundo declarações públicas.
A agência que deve implementar defesa habilitada por IA, emitir BODs em 30 dias, coordenar um clearinghouse e facilitar acesso a frontier models opera com capacidade reduzida. Isso não é um detalhe — é o contexto que determina se as políticas saem do papel ou ficam na intenção.
Na Tech86, sabemos que política sem capacidade de execução é documento. O mesmo vale para operações privadas: definir priorização baseada em risco real é o passo certo, mas sem automação de detecção e resposta, a priorização fica na planilha e não chega ao endpoint.
Conclusão
O BOD 26-04 e a EO 14409 representam a mesma mudança de paradigma: priorizar por risco real e usar IA para defesa. A CISA formalizou que, para BODs federais, 4 fatores binários são mais eficazes que CVSS como driver de priorização. A Casa Branca determinou que IA deve ser ferramenta de defesa, não apenas de ataque. A questão central é de execução — e a CISA opera com capacidade reduzida no momento em que recebe mais atribuições. Para operações privadas, a lição é clara: quem não automatiza triagem e resposta na velocidade que o risco real exige está aplicando patches no escuro. Nós ajudamos a ver e a agir mais rápido — com EDR, monitoramento em tempo real e resposta autônoma.