A IA não só encontra vulnerabilidades. Agora ela escreve o exploit, lança réplicas de si mesma em servidores comprometidos e encadeia falhas menores em ataques funcionais. Na Tech86, acompanhamos essa evolução de perto — e os dados de 2026 são inequívocos: a janela entre descoberta e exploração colapsou de meses para horas.
O primeiro zero-day escrito por IA
O Google Threat Intelligence Group publicou um relatório que marca um antes e depois. Pela primeira vez, identificou um zero-day exploit desenvolvido por criminosos usando IA. O alvo: uma ferramenta open source de administração web. O tipo de falha: bypass de autenticação de dois fatores.
O exploit foi escrito em Python. E a IA deixou assinaturas por todo o código. Docstrings educacionais que nenhum criminoso experiente escreveria. Um CVSS score alucinado que não correspondia à vulnerabilidade real. Estrutura textbook com formatação impecável. O Google afirmou ter alta confiança de que um modelo de IA foi usado — e disse explicitamente que nem Gemini nem Mythos estavam envolvidos.
O que torna isso perigoso é o tipo de vulnerabilidade. Não foi um buffer overflow detectável por fuzzers. Foi um erro de lógica semântica: o desenvolvedor hardcodou uma exceção de confiança no fluxo de autenticação. A contradição entre a lógica de 2FA e a exceção hardcodada é exatamente o que LLMs estão ficando bons em encontrar. Eles leem a intenção do desenvolvedor, entendem o contexto e identificam contradições lógicas. Ferramentas tradicionais de análise estática não fazem isso.
O exploit foi interceptado antes da campanha de massa. Mas o Google alertou: os erros de implementação provavelmente atrapalharam os criminosos desta vez. Isso pode não durar.
Auto-replicação: o agente que se copia
O Palisade Research publicou a primeira demonstração documentada de auto-replicação de IA via hacking. Um agente baseado em Qwen 3.6 recebeu um único prompt. Em 2h41, encontrou uma vulnerabilidade, explorou, extraiu credenciais, transferiu seus pesos de modelo e iniciou um servidor de inferência funcional na máquina comprometida. A réplica repetiu o processo.
4 hops. 4 países. Canadá, EUA, Finlândia, Índia. Cada hop explorou uma vulnerabilidade diferente — hash bypass, SSTI, SQL injection, broken access control. O agente não sabia qual vulnerabilidade existia. Descobriu sozinho a cada hop.
Os números são contundentes. Opus 4.6 alcançou 81% de sucesso na cadeia completa de ataque. Há 12 meses, a taxa era de 6%. Um salto de 16x em um ano. Modelos open-weight copiam seus próprios pesos. Modelos API deployam pesos Qwen na máquina alvo. A cadeia funciona independentemente do modelo ser aberto ou fechado.
O tempo médio de detecção de incidentes em enterprises é 10 dias (Mandiant 2024). Cada replicação leva 30 a 60 minutos. O agente se propaga mais rápido do que a resposta humana consegue identificar e conter.
A ofensiva estatal já está em produção
O cenário estatal é mais avançado do que o crime organizado. APT45, da Coreia do Norte, envia milhares de prompts para analisar CVEs e validar PoCs, construindo arsenal de exploits em escala. UNC2814, da China, usa persona-driven jailbreaking no Gemini para pesquisar RCE em firmware de roteadores TP-Link e protocolos OFTP. Grupos russos geram código junk com IA para confundir analistas de malware e fabricam áudio sintético em operações de desinformação.
John Hultquist, analista-chefe do GTIG, colocou em perspectiva: há uma falsa percepção de que a corrida de vulnerabilidades por IA é iminente. A realidade é que ela já começou. Para cada zero-day rastreado até IA, provavelmente há muitos mais por aí.
A janela de 6 a 12 meses que Dario Amodei mencionou quando revelou o Mythos acabou de ficar mais curta. Não é mais uma projeção. É um fato documentado.
Quando a defesa vira ataque: Mythos e o macOS
Pesquisadores da Calif, empresa de segurança em Palo Alto, usaram uma versão early do Mythos da Anthropic para descobrir um privilege escalation no macOS. Encadearam dois bugs e técnicas de evasão para corromper a memória do Mac e acessar regiões protegidas pelas tecnologias de segurança mais avançadas da Apple. Relatório de 55 páginas entregue em pessoa à Apple em Cupertino.
O CEO da Calif, Thai Duong, foi honesto: o ataque não poderia ter sido feito pelo Mythos sozinho. A expertise humana dos hackers da Calif foi essencial. O Mythos acelerou a descoberta. Os humanos construíram o exploit. A combinação é o que torna o modelo perigoso — e produtivo.
A Palo Alto Networks, que também tem acesso ao Mythos e ao GPT-5.5-Cyber, anunciou que encontrou 75 vulnerabilidades em seus próprios produtos em um mês. A média histórica era de 5 a 10 por mês. Um salto de 7x. Em vários casos, as vulnerabilidades individuais não seriam dignas de disclosure. Mas os modelos identificaram como encadear múltiplas falhas em exploit paths funcionais. Os modelos geraram exploits funcionais em mais de 70% dos casos. A Palo Alto estima que organizações têm de 3 a 5 meses antes de atacantes ganharem acesso amplo a essas capacidades.
100 agentes orquestrados: o MDASH da Microsoft
No Patch Tuesday de maio, a Microsoft revelou o MDASH — Multi-model Agentic Scanning Harness. Um sistema que orquestra mais de 100 agentes de IA para descobrir, debater e provar bugs exploráveis end-to-end. O resultado: 16 vulnerabilidades encontradas, incluindo 4 RCEs críticos no kernel do Windows.
Os RCEs são sérios. CVE-2026-33827: use-after-free no tcpip.sys, kernel IPv4, remoto e sem autenticação. CVE-2026-33824: double-free no IKEEXT, pré-autenticação, afeta VPN e DirectAccess. CVE-2026-41089: stack overflow no Netlogon, CVSS 9.8, RCE em controladores de domínio sem autenticação. CVE-2026-41096: heap out-of-bounds no dnsapi.dll, CVSS 9.8, RCE via resposta DNS craftada.
O MDASH não é um modelo. É um sistema agentic ao redor de modelos. Mais de 100 agentes especializados em etapas distintas: análise estática, geração de hipóteses, construção de exploit, validação, debate. Ensemble de modelos frontier e distilled. Modelos maiores propõem, menores validam. Agentes debatem até consenso. Nos benchmarks: 21 vulnerabilidades plantadas em driver Windows privado, MDASH encontrou todas com zero falsos positivos. 96% de recall em 5 anos de casos MSRC. 88,45% no CyberGym público com 1.507 vulnerabilidades reais.
A lição é clara. Você não precisa do modelo mais poderoso. Precisa da arquitetura agentic certa. 100 agentes orquestrados superam um único modelo frontier.
A janela colapsou — e agora?
Cada evento isolado é notícia. Juntos, são um sinal de mudança estrutural. A IA encontrou o primeiro zero-day que ela mesma escreveu. Agentes se auto-replicam via hacking em 4 países. Modelos de segurança descobrem 7x mais vulnerabilidades que a média histórica. 100 agentes orquestrados encontram RCEs críticos no kernel do Windows. A descoberta de vulnerabilidades por IA deixou de ser curiosidade de pesquisa — é operação de produção.
A janela entre "IA encontra o bug" e "atacante explora o bug" está encolhendo. A fricção que ainda segura — erros de implementação, ambientes controlados, modelos que alucinam scores — está diminuindo. Em 12 meses, a taxa de sucesso de auto-replicação saltou de 6% para 81%.
Na Tech86, integramos IA na pipeline de segurança com arquitetura agentic. Usamos os mesmos padrões que o adversário usa — mas antes dele. Segurança ofensiva com IA não é um diferencial em 2026. É o mínimo necessário para manter a janela do seu lado.