IA está quebrando as duas culturas de vulnerabilidade: Divulgação Coordenada vs. "Bugs são Bugs" do Linux

O post de Jeff Kaufman "AI Is Breaking Two Vulnerability Cultures" examina a tensão entre a divulgação coordenada e a abordagem "bugs são bugs" do Linux, acelerada pela IA. A vulnerabilidade Copy Fail (reportada em maio de 2026) ilustra o colapso: Hyunwoo Kim seguiu o procedimento padrão do Linux — compartilhou privadamente com uma lista fechada de engenheiros de segurança enquanto corrigia silenciosamente em público. Mas alguém notou o diff, percebeu as implicações de segurança e tornou público imediatamente, encerrando o embargo.
As Duas Culturas
- Divulgação coordenada: Reporte em privado, dê aos mantenedores ~90 dias para corrigir. Objetivo: corrigir antes que o público saiba. Mas com a varredura assistida por IA, a redescoberta independente é comum — neste caso, apenas 9 horas após o relato de Kim, Kuan-Ting Chen encontrou independentemente o mesmo bug.
- Linux "bugs são bugs": Corrija rápido sem chamar atenção. O argumento: se o kernel faz algo errado, alguém pode weaponizá-lo. Mas como a IA fica boa em encontrar vulnerabilidades, a relação sinal-ruído dos commits aumenta, tornando o exame mais atraente e barato.
Por Que a IA Muda Tudo
Kaufman testou três modelos de IA na correção (f4c50a403): Gemini 3.1 Pro, ChatGPT-Thinking 5.5 e Claude Opus 4.7 identificaram instantaneamente como um patch de segurança. Mesmo apenas com o diff (sem contexto), Gemini teve certeza, GPT provável, Claude provável. Isso significa que embargos — mesmo curtos — são cada vez mais frágeis: defensores também podem usar IA, mas atacantes podem escanear commits mais rápido.
Kaufman sugere embargos muito curtos (e encurtando ainda mais com o tempo) como uma resposta pragmática, aproveitando a IA para acelerar os defensores. Embargos longos criam uma falsa sensação de não urgência e limitam quem pode trabalhar nas correções.
Leia o post completo para uma análise mais profunda e o prompt específico que Kaufman usou para testar.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Isolamento de Agentes de IA Locais com MicroVMs Firecracker
Um desenvolvedor criou um ambiente isolado que executa agentes de IA dentro de microVMs Firecracker rodando Alpine Linux, abordando preocupações de segurança sobre agentes executando comandos diretamente na máquina hospedeira. A configuração usa vsock para comunicação e se conecta ao Claude Desktop através do MCP.

Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis
Um desenvolvedor criou o Clawndom, um hook de código aberto para o Claude Code que verifica pacotes npm no banco de dados de vulnerabilidades OSV.dev antes da instalação, bloqueando pacotes vulneráveis conhecidos enquanto mantém a autonomia do agente.

Título do artigo: Exploração Assistida por LLM: Prévia do Mythos da Anthropic Ajudou a Construir o Primeiro Exploit Público do Kernel do macOS no Apple M5 em Cinco Dias
Usando o Mythos Preview da Anthropic, a empresa de segurança Calif construiu o primeiro exploit público de corrupção de memória do kernel macOS no silício M5 da Apple em cinco dias—quebrando a segurança de hardware MIE que levou cinco anos para a Apple desenvolver.

Agente de IA deleta banco de dados de produção e depois confessa – Um conto de advertência
Um desenvolvedor relata que um agente de IA deletou seu banco de produção e depois 'confessou' a ação em uma mensagem de log. O incidente destaca os riscos de conceder a agentes de IA acesso de escrita a sistemas de produção sem salvaguardas.