Sistema de IA Descobre 12 Vulnerabilidades Zero-Day no OpenSSL, Curl Cancela Programa de Recompensas por Bugs Devido a Spam de IA
O sistema automatizado de IA da AISLE para descoberta de vulnerabilidades de cibersegurança encontrou todas as 12 vulnerabilidades de dia zero na recente atualização de segurança do OpenSSL, enquanto o curl cancelou seu programa de recompensa por bugs devido a envios de spam gerados por IA. Esta é a primeira demonstração real de cibersegurança baseada em IA nessa escala contra infraestrutura intensamente auditada.
Detalhes Principais da Fonte
O sistema de IA descobriu vulnerabilidades no OpenSSL, que sustenta a criptografia para pelo menos dois terços do tráfego mundial da internet. O sistema opera sob o pseudônimo "Tamanduá-Bandeira" em programas de recompensa por bugs e visa transformar pesquisas de segurança de elite em um processo industrial repetível.
Resultados anteriores do Outono de 2025 incluíram:
- CVE-2025-9230: Leitura/escrita fora dos limites na operação de desempacotamento KEK do RFC 3211 para criptografia baseada em senha do CMS, potencialmente levando a corrupção de memória ou execução de código. Este bug estava presente desde 2009.
- CVE-2025-9231: Canal lateral de temporização em assinaturas de curva elíptica SM2 em ARM de 64 bits, onde variações no tempo de execução poderiam permitir recuperação de chave privada através de observação remota.
- CVE-2025-9232: Leitura fora dos limites no tratamento de no_proxy do cliente HTTP ao analisar hosts IPv6, desencadeando uma falha controlada.
O sistema gerencia todo o ciclo, incluindo varredura, análise, triagem e construção de exploração. Os mantenedores do OpenSSL são famosamente conservadores sobre a emissão de CVEs, tornando sua aceitação um benchmark externo rigoroso.
Enquanto isso, o curl cancelou seu programa de recompensa por bugs devido a uma enxurrada de envios de spam gerados por IA, mesmo enquanto a AISLE reportou 5 CVEs genuínos para eles. Isso ilustra o impacto duplo da IA: colapsando a qualidade mediana dos envios enquanto eleva o teto para descobrir vulnerabilidades de dia zero reais em infraestrutura crítica.
O projeto de previsão Frontier of the Year 2025 colocou a descoberta de vulnerabilidades impulsionada por IA em infraestrutura crítica na posição #3 geral por impacto esperado, com probabilidade de 0,9 de generalização.
📖 Leia a fonte completa: HN AI Agents
👀 See Also
Proxy McpVanguard Bloqueia Exfiltração de Dados da Habilidade OpenClaw
Um desenvolvedor criou o McpVanguard, um proxy que fica entre os agentes de IA e suas ferramentas para bloquear cadeias de chamadas maliciosas, como exfiltração de dados, em resposta à descoberta da Cisco de que habilidades do OpenClaw realizavam roubo silencioso de dados. Ele usa correspondência de padrões, pontuação de intenção semântica e detecção de cadeias comportamentais.
Pesquisa: Caracteres Unicode Invisíveis Podem Sequestrar Agentes de LLM por Meio do Acesso a Ferramentas
Um estudo testou se os LLMs seguem instruções ocultas em caracteres Unicode invisíveis incorporados em texto normal, usando dois esquemas de codificação em cinco modelos e 8.308 saídas avaliadas. Achado principal: o acesso a ferramentas amplia a conformidade de menos de 17% para 98-100%, com modelos escrevendo scripts Python para decodificar caracteres ocultos.
Potencial Incidente de Segurança do Claude: Alertas de Senha Auto-Enviados e Processo .NET Suspeito
Um usuário relata ter recebido alertas suspeitos de redefinição de senha que pareciam ser enviados de sua própria conta após fazer login no Claude, com e-mails desaparecendo minutos depois e um processo incomum do .NET bloqueando o desligamento do sistema.
OpenObscure: Firewall de Privacidade de Código Aberto para Agentes de IA em Dispositivos
OpenObscure é um firewall de privacidade de código aberto e no dispositivo que fica entre agentes de IA e provedores de LLM. Ele usa Criptografia de Preservação de Formato FF1 com AES-256 para criptografar valores de PII antes que as solicitações saiam do seu dispositivo, mantendo a estrutura dos dados enquanto protege a privacidade.