A Microsoft publicou em seu blog de segurança, em abril de 2026, o que quem opera segurança já sabia na prática: a IA comprimiu a janela entre descoberta e exploração de vulnerabilidades. A diferença é que agora tem o peso da Microsoft confirmando com dados e anúncios de produto. Na Tech86, vimos essa compressão acontecendo antes da declaração oficial — e o impacto é estrutural, não circunstancial.
O que a Microsoft confirmou
Segundo a Microsoft, modelos de IA podem autonomamente descobrir vulnerabilidades em software, encadear múltiplas falhas de severidade baixa em exploits end-to-end funcionais e gerar código de prova de conceito que funciona. A janela entre descoberta e exploração foi significativamente comprimida.
Isso não é teoria. A Microsoft usou seu próprio sistema — o MDASH, que orquestra mais de 100 agentes de IA especializados — para encontrar 16 vulnerabilidades no stack de rede e autenticação do Windows, incluindo 4 RCEs críticos em componentes como o stack TCP/IP do kernel e o serviço IKEv2. O MDASH alcançou 88,45% de sucesso no benchmark público CyberGym com 1.507 vulnerabilidades reais, segundo a Microsoft. Em menos de três semanas, saltou para 96,55%.
A declaração mais forte do post, assinado por Aleš Holeček, vice-presidente corporativo e arquiteto-chefe de segurança da Microsoft: para clientes que implantam produtos Microsoft em infraestrutura própria, seja on-premise ou hospedada localmente, manter-se atualizado em todas as atualizações de segurança "não é mais apenas a melhor prática; é um requisito fundamental para se manter seguro contra exposição de IA." Boa prática era opcional. Requisito fundamental é obrigatório.
O desequilíbrio estrutural
Antes, um atacante precisava de expertise, tempo e ferramentas especializadas. Agora, segundo a Microsoft, um modelo de IA pode fazer o trabalho de um pentester em horas, não semanas. E pode encadear vulnerabilidades que humanos não conectariam. Uma falha de severidade baixa sozinha é ruído. Três encadeadas são um exploit.
O impacto no ciclo de vida de vulnerabilidades é assimétrico. Na descoberta, a IA encontra mais rápido, em mais codebases, com mais precisão. Na validação, a IA pode testar se a vulnerabilidade é explorável automaticamente. Na exploração, a IA pode gerar PoC funcional e encadear issues de severidade baixa. Na remediação, está o gap. A remediação ainda é humana. E humana é lenta.
Atacantes com IA descobrem e exploram em horas. Defensores sem IA aplicam patches em dias ou semanas. A velocidade do ataque superou a velocidade da defesa. E a Microsoft está dizendo isso abertamente.
A responsabilidade divide no modelo de implantação
Segundo a Microsoft, para clientes PaaS e SaaS, mitigações são aplicadas automaticamente. A plataforma absorve o problema. Para quem roda infraestrutura on-premise ou hospedada localmente, a responsabilidade é inteiramente sua.
A atualização de segurança deixou de ser algo que se faz quando conveniente. É algo que se faz antes do próximo scan de IA encontrar o que você não atualizou. A Microsoft está usando IA para escanear codebases de código aberto de forma proativa, segundo seu blog. Vulnerabilidades identificadas são tratadas via coordinated disclosure. Se a Microsoft está fazendo isso com codebases de código aberto, atacantes estão fazendo com codebases privadas — sem disclosure.
No Build 2026, a Microsoft anunciou a expansão do preview do MDASH com integração ao Microsoft Defender. Segundo a Microsoft, o sistema combina análise de IA com telemetria de mais de 100 trilhões de sinais de segurança por dia para identificar vulnerabilidades que podem ser exploradas na prática. A solução estava prevista para preview em junho de 2026.
A matemática mudou
A IA não está apenas acelerando ataques. Está mudando a matemática da segurança. Antes: custo de ataque alto, tempo de exploração longo, barreira de expertise significativa. Agora: custo de ataque baixo, tempo de exploração curto, expertise democratizada por IA.
O Google Threat Intelligence Group já identificou, segundo o próprio grupo, o primeiro zero-day escrito por criminosos usando IA — um bypass de autenticação dois fatores em uma ferramenta de administração web de código aberto. O Palisade Research, segundo a própria organização, documentou um agente de IA que se auto-replicou via hacking em 2h41m, fazendo 4 hops entre 4 países. A taxa de sucesso de auto-replicação saltou de 6% para 81% em 12 meses, segundo o Palisade Research. Esses não são dados da Microsoft — são dados do ecossistema de segurança que confirmam a mesma tendência, segundo o Google Threat Intelligence Group e o Palisade Research, respectivamente.
Quem não automatiza defesa na mesma velocidade está jogando um jogo que já perdeu. A questão não é se a IA vai encontrar a vulnerabilidade que você não corrigiu. É quando.
Conclusão
A declaração da Microsoft é um marco porque vem de quem tem a maior base instalada de software do mundo. Quando a Microsoft diz que manter atualizações de segurança é requisito fundamental, não boa prática, é porque a janela de tolerância acabou. Na Tech86, automatizamos defesa na velocidade que a IA exige — com EDR, monitoramento em tempo real e resposta autônoma. Se você não sabe quanto tempo leva entre a descoberta de uma vulnerabilidade e a aplicação do patch na sua infraestrutura, está na hora de descobrir.