O que e o EPSS e como ele ajuda na priorizacao de patches?

O Exploit Prediction Scoring System (EPSS) pontua a probabilidade de um CVE ser explorado nos proximos 30 dias. Combinado com o catalogo CISA KEV (Known Exploited Vulnerabilities), permite priorizar patches pelo risco real de exploracao, nao apenas pela gravidade tecnica. O artigo da Anthropic recomenda usa-lo como criterio principal de priorizacao.

Como a IA pode acelerar a triagem de vulnerabilidades?

Modelos de fronteira deduplicam achados, estimam exposicao com inventario de ativos, rascunham tickets com caminhos de codigo pre-identificados e identificam bibliotecas sobrepostas. O artigo descreve agentes que investigam 100% dos alertas com ferramentas minimas, produzindo disposicoes que humanos aceitam ou escalam.

O que significa projetar para a violacao na seguranca cibernetica?

Significa assumir que adversarios conseguirao acesso e desenhar controles que minimizem o dano. Com IA, mitigacoes baseadas em atrito (como SMS 2FA) perdem eficacia. O artigo recomenda controles estruturais: FIDO2/passkeys, tokens de curta duracao, zero trust architecture e isolamento de servicos por identidade.

Como pequenas empresas se protegem sem equipe de seguranca?

Tres acoes: (1) ativar atualizacoes automaticas para SO, navegador e todos os aplicativos; (2) preferir servicos gerenciados a self-hosting; (3) usar passkeys em toda conta. No GitHub, ativar Dependabot, scanning de segredos e CodeQL sao medidas gratuitas e de alto impacto.

Seguranca cibernetica na era da IA: preparando seu programa para ataques acelerados

Q: O que e o Project Glasswing da Anthropic?

E a iniciativa da Anthropic para implantar capacidades defensivas de ciberseguranca com Claude Mythos Preview. Demonstra que modelos de fronteira operam tanto no ataque quanto na defesa. O artigo usa o projeto como base para argumentar que capacidades similares estarao amplamente disponiveis em 24 meses.

Em 10 de abril de 2026, a Anthropic publicou um artigo que, na minha opiniao, deveria ser leitura obrigatoria para todo desenvolvedor que se preocupa com seguranca. O titulo e "Preparing Your Security Program for AI-Accelerated Offense" e a tese central e direta: modelos de fronteira estao reduzindo drasticamente o tempo, os recursos e a habilidade necessarios para descobrir vulnerabilidades. A mesma aceleracao que empodera atacantes tambem empodera defensores — mas so se voce agir primeiro.

O artigo referencia o "Project Glasswing", iniciativa da Anthropic para implantar capacidades defensivas a partir do seu modelo Claude Mythos Preview. O argumento central: dentro de aproximadamente 24 meses, modelos similares estarao amplamente disponiveis, permitindo exploracao de vulnerabilidades que ficam anos sem ser notadas.

O Project Glasswing mudou o jogo da seguranca

O Project Glasswing demonstra que modelos de fronteira operam tanto no ataque quanto na defesa. A tecnologia que acelera descobertas ofensivas, nas maos de defensores preparados, automatiza triagem, gera patches e reduz tempo de resposta. O que me chamou atencao: a Anthropic nao fala de futuro distante. A tese e clara e baseada em resultados reais.

Nos proximos 24 meses, modelos com capacidade similar estarao disponiveis para todos. A janela de vantagem para defensores que adotam agora e real mas temporaria. O mesmo raciocinio que aplicamos ao adotar boas praticas com Claude Opus 4.7 no Claude Code — se a ferramenta esta disponivel para voce, tambem esta para seus adversarios. A diferenca e quem age primeiro.

Feche sua janela de patch antes que os atacantes o facam

IA e excepcional em reconhecer vulnerabilidades conhecidas e ja corrigidas em sistemas desatualizados. Reverter patches em exploits funcionais e analise mecanica que modelos de fronteira fazem com precisao. Resultado: a janela entre patch e exploracao esta colapsando.

A recomendacao mais urgente do artigo: patcheie tudo no catalogo CISA Known Exploited Vulnerabilities (KEV) imediatamente, especialmente sistemas expostos a internet. Use o EPSS (Exploit Prediction Scoring System) para priorizar CVEs restantes pela probabilidade de exploracao. Reduza o tempo de patch para menos de 24 horas em sistemas criticos. Automatize deploy de patches onde o risco de downtime for aceitavel.

Prepare-se para um volume muito maior de reports

Processos de gerenciamento de vulnerabilidade vao enfrentar pressao crescente. Reports de vendors e upstream vao se multiplicar. O artigo recomenda planejar "uma ordem de magnitude de aumento de achados" em triagem e remediacao. Minha interpretacao: chega de planilha — e hora de automacao com humanos no loop.

O OpenSSF Scorecard e uma ferramenta pratica: avalia protecao de branches, cobertura de fuzzing, releases assinados e atividade de mantenedores. IA tambem acelera a defesa: modelos deduplicam achados, estimam exposicao com inventario de ativos e rascunham tickets com caminhos de codigo pre-identificados.

Encontre bugs antes de enviar para producao

Prevencao importa mais que remediacao. Assuma que bugs em producao serao encontrados — especialmente com IA examinando codigo em escala. Adicione analise estatica e revisao assistida por IA ao pipeline de CI, bloqueando merges em achados de alta confianca. Adicione testes de penetracao automatizados ao deploy continuo.

A dica de ouro: "escaneie seu codigo com o mesmo modelo que um atacante usaria, antes que ele o faca." Precisa de um agente isolado, etapa de verificacao para filtrar ruido, e caminho para triagem existente. Se implementar uma coisa desta secao, que seja esta.

Encontre vulnerabilidades ja no seu codigo

Codigo antigo em producao foi revisado por humanos, mas nunca por um modelo de fronteira — e essa analise "tende a superfie problemas novos, previamente ignorados". Priorize por exposicao: codigo que faz parsing de entrada nao confiavel, implementa autenticacao, ou e acessivel pela internet. Inclua codigo legado sem donos atuais.

Na pratica: escolha um servico negligenciado, escaneie input handling e autenticacao com agente isolado, use os resultados para estimar custos do programa. O artigo observa que escaneamentos de modelo produzem menos achados que SAST, mas com maior proporcao de problemas reais.

Projete para a violacao

Mitigacoes baseadas em atrito — rate limits, SMS 2FA, portas nao-padrao — perdem eficacia contra IA que supera etapas tediosas. Controles que funcionam contra paciencia infinita: credenciais vinculadas a hardware, tokens expiraveis, caminhos de rede que nao existem.

Adote zero trust de verdade: autentique toda requisicao servico-a-servico como se viesse da internet. Use FIDO2/passkeys para 2FA resistente a phishing. Isole servicos por identidade — um build server comprometido nao alcanca bancos de producao. Substitua segredos longos por tokens de curta duracao.

Reduza o tempo de resposta com agentes de IA

"Exploits aparecem em horas apos um patch. Processos de resposta que levam dias sao lentos demais." Coloque um modelo na frente dos alertas para investigacao automatizada antes da revisao humana. Priorize dwell time e cobertura.

A aplicacao mais subestimada, que o artigo chama de "a menos glamorosa mas de maior impacto": agentes que investigam 100% dos alertas com ferramentas minimas (consultar, pensar, reportar), produzindo disposicoes que humanos aceitam ou escalam. O mesmo modelo que acha vulnerabilidades no codigo caca misconfiguracoes na telemetria.

O mesmo principio que discutimos sobre agentes de IA corporativos se aplica aqui: a seguranca ofensiva com IA segue o mesmo padrao, mas com riscos assimetricos. Invista em automacao defensiva hoje.

Para quem nao tem equipe de seguranca: ative atualizacoes automaticas, prefira servicos gerenciados, use passkeys em toda conta. No GitHub, ative Dependabot, scanning de segredos e CodeQL — medidas gratuitas e de alto impacto.

O artigo completo esta no blog oficial da Anthropic. A pergunta que fica: sua organizacao esta pronta para ataques acelerados por IA? Se ainda tem duvidas, veja como a industria juridica ja adotou Claude em escala. O guia da Anthropic e o melhor ponto de partida que conheco.