O governo dos EUA gasta 1 bilhão de dólares em ciberataques enquanto corta 1,2 bilhão de dólares de defesa civil. Na mesma semana de junho de 2026, duas startups revelaram o que isso significa na prática: a privatização da guerra cibernética está acontecendo, e a governança não acompanhou. Nós acompanhamos esse movimento e o sinal é claro — algo estrutural mudou.
A Dream Security — do Pegasus para a defesa
Segundo a empresa, a Dream Security levantou 260 milhões de dólares em Série B em 18 de junho de 2026, a uma avaliação de 3 bilhões de dólares. Os nomes por trás são significativos: Shalev Hulio, o mesmo por trás do NSO Group e do Pegasus, e Sebastian Kurz, ex-chanceler da Áustria. Hulio declarou que quis passar do lado do ataque para a defesa.
Os produtos contam a história. Segundo a empresa, o SPHERE é para defesa nacional — proteção de infraestrutura crítica em escala país. O HERO faz descoberta e correção autônoma de vulnerabilidades — agentes defensivos que encontram e corrigem falhas antes que atacantes as explorem. E o ATLAS é IA soberana para governos: air-gapped, sem telemetria, sem dados saindo do país.
O ATLAS responde a uma necessidade geopolítica real. Segundo reportagens, os EUA bloquearam o acesso aos modelos da Anthropic para não-cidadãos. Quando IA se torna infraestrutura crítica, depender de modelos estrangeiros é risco soberano. IA soberana não é feature de produto — é necessidade de Estado. A Dream Security tem ARR acima de 100 milhões de dólares e clientes apenas governos. O mercado validou.
A Twenty — industrializando a guerra cibernética ofensiva
A Twenty é o outro extremo do espectro. Segundo a empresa, o CEO Joe Lin é ex-Reserva da Marinha e ex-Palo Alto Networks. A Série B de 100 milhões de dólares em 17 de junho de 2026 elevou a avaliação a 1 bilhão de dólares — unicórnio. Os investidores dizem tudo: Accel, In-Q-Tel (braço de venture da CIA), e General Catalyst.
O produto é guerra cibernética ofensiva habilitada por IA. Segundo a empresa, agentes de IA orquestram cada fase do Cyber Kill Chain da Lockheed Martin. A Twenty chama de kill chains agentivas: agentes que ciclam por loops de Raciocínio-Ação-Observação em centenas de alvos simultaneamente. O humano fica no loop nos pontos de autorização — mas a execução é autônoma.
Lin declarou que a Twenty foi fundada para industrializar a guerra cibernética. Clientes: apenas militares e inteligência dos EUA. Contratos: 12,6 milhões de dólares com o CYBERCOM em 2024, em stealth. A mensagem é clara: a guerra cibernética deixou de ser arte para virar indústria.
As três mudanças estruturais
Três mudanças estruturais habilitam a privatização da ofensiva cibernética:
1. Orçamento do CYBERCOM em IA: Segundo dados orçamentários, o CYBERCOM reservou 138 milhões de dólares para IA para Operações Cibernéticas em FY2027, contra 5 milhões de dólares em FY2026. Isso é um aumento de 2.660%. O sinal para o mercado é inequívoco: o governo quer IA em operações cibernéticas, e está disposto a pagar.
2. A One Big Beautiful Bill: Segundo o texto da lei, a One Big Beautiful Bill (julho de 2025) destinou 1 bilhão de dólares para operações ofensivas no INDOPACOM e 250 milhões de dólares para IA do CYBERCOM. Mas cortou 1,2 bilhão de dólares de defesa civil. A CISA perdeu 1/3 do orçamento. O governo investe na ofensiva e desinveste da defensiva civil — uma escolha com consequências.
3. NDAA e contratantes civis: Segundo o texto do NDAA, o Senado incluiu provisão para contratantes civis conduzirem operações cibernéticas sob o CYBERCOM. Antes de permitir efeitos destrutivos. Isso significa que empresas privadas podem conduzir operações com impacto destrutivo real sob autoridade militar, sem as obrigações que vinculam comandantes.
A estratégia de março de 2026 pedia liberar o setor privado para disruptar redes adversárias. As três mudanças são a execução dessa estratégia.
O vácuo de governança
Segundo Ronald Deibert do Citizen Lab, comandantes militares têm obrigações de notificação ao Congresso. CEOs de empreiteiras não. Essa é a falha estrutural: a privatização da ofensiva carece de oversight.
Empresas como a Twenty operam sob Title 10 e Title 50 sem as obrigações que vinculam comandantes. Agentes de IA, capital privado e contratos governamentais criam um ator novo — nem militar nem civil — com velocidade e escala que o oversight não acompanha. Quando um CEO de empreiteira pode autorizar operações com efeitos destrutivos sem notificar o Congresso, algo fundamental quebrou.
O problema não é que empresas privadas façam cibersegurança — isso já acontece há décadas. O problema é que agentes de IA mudam a escala e a velocidade do que é possível. Um atacante manual tem limites humanos. Um agente de IA em kill chain agentivo não tem. E quando esse agente opera sob contrato privado sem oversight congressional, o vácuo é estrutural.
Conclusão
Os mesmos agentes de IA que escrevem código podem orquestrar um kill chain. A diferença é quem os implanta e sob que autoridade. Nós construímos os agentes — e precisamos da governança para acompanhá-los. Na Tech86, ajudamos organizações a avaliar sua exposição a operações ofensivas habilitadas por IA e a implementar posturas defensivas que acompanham a velocidade das ameaças modernas. A guerra cibernética privatizou. A governança precisa acompanhar.