Sistema de IA Descobre 12 Vulnerabilidades Zero-Day no OpenSSL, Curl Cancela Programa de Recompensas por Bugs Devido a Spam de IA

✍️ OpenClawRadar📅 Publicado: February 28, 2026🔗 Source
Sistema de IA Descobre 12 Vulnerabilidades Zero-Day no OpenSSL, Curl Cancela Programa de Recompensas por Bugs Devido a Spam de IA
Ad

O sistema automatizado de IA da AISLE para descoberta de vulnerabilidades de cibersegurança encontrou todas as 12 vulnerabilidades de dia zero na recente atualização de segurança do OpenSSL, enquanto o curl cancelou seu programa de recompensa por bugs devido a envios de spam gerados por IA. Esta é a primeira demonstração real de cibersegurança baseada em IA nessa escala contra infraestrutura intensamente auditada.

Ad

Detalhes Principais da Fonte

O sistema de IA descobriu vulnerabilidades no OpenSSL, que sustenta a criptografia para pelo menos dois terços do tráfego mundial da internet. O sistema opera sob o pseudônimo "Tamanduá-Bandeira" em programas de recompensa por bugs e visa transformar pesquisas de segurança de elite em um processo industrial repetível.

Resultados anteriores do Outono de 2025 incluíram:

  • CVE-2025-9230: Leitura/escrita fora dos limites na operação de desempacotamento KEK do RFC 3211 para criptografia baseada em senha do CMS, potencialmente levando a corrupção de memória ou execução de código. Este bug estava presente desde 2009.
  • CVE-2025-9231: Canal lateral de temporização em assinaturas de curva elíptica SM2 em ARM de 64 bits, onde variações no tempo de execução poderiam permitir recuperação de chave privada através de observação remota.
  • CVE-2025-9232: Leitura fora dos limites no tratamento de no_proxy do cliente HTTP ao analisar hosts IPv6, desencadeando uma falha controlada.

O sistema gerencia todo o ciclo, incluindo varredura, análise, triagem e construção de exploração. Os mantenedores do OpenSSL são famosamente conservadores sobre a emissão de CVEs, tornando sua aceitação um benchmark externo rigoroso.

Enquanto isso, o curl cancelou seu programa de recompensa por bugs devido a uma enxurrada de envios de spam gerados por IA, mesmo enquanto a AISLE reportou 5 CVEs genuínos para eles. Isso ilustra o impacto duplo da IA: colapsando a qualidade mediana dos envios enquanto eleva o teto para descobrir vulnerabilidades de dia zero reais em infraestrutura crítica.

O projeto de previsão Frontier of the Year 2025 colocou a descoberta de vulnerabilidades impulsionada por IA em infraestrutura crítica na posição #3 geral por impacto esperado, com probabilidade de 0,9 de generalização.

📖 Leia a fonte completa: HN AI Agents

Ad

👀 See Also

arifOS: Um Kernel de Governança MCP de US$ 15 para Segurança da Ferramenta OpenClaw
Security

arifOS: Um Kernel de Governança MCP de US$ 15 para Segurança da Ferramenta OpenClaw

arifOS é um servidor MCP leve que intercepta chamadas de ferramentas OpenClaw, pontua-as de 000 a 999 e bloqueia ações inseguras com 13 pisos de segurança rígidos antes que alcancem sistemas de arquivos, APIs ou bancos de dados.

OpenClawRadar
Google TIG relata primeiro exploit de zero-day gerado por IA encontrado na natureza
Security

Google TIG relata primeiro exploit de zero-day gerado por IA encontrado na natureza

O Google Threat Intelligence Group identificou um ator de ameaças usando uma exploração de dia zero supostamente desenvolvida com IA, marcando o primeiro uso ofensivo observado de IA para exploração de vulnerabilidades de dia zero.

OpenClawRadar
Desenvolvedor Cria Sandbox Firecracker MicroVM para Segurança OpenClaw
Security

Desenvolvedor Cria Sandbox Firecracker MicroVM para Segurança OpenClaw

Um desenvolvedor preocupado com a segurança de LLMs construiu um sandbox bare-metal usando microVMs Firecracker para isolar scripts OpenClaw, com cada script rodando em seu próprio kernel Linux com limite de 128MB de RAM e sem rede por padrão.

OpenClawRadar
Alerta de Segurança para Instâncias Locais do OpenClaw Sem Sandboxing
Security

Alerta de Segurança para Instâncias Locais do OpenClaw Sem Sandboxing

Uma postagem no Reddit alerta que executar instâncias vanilla do OpenClaw localmente sem o isolamento adequado pode levar à exposição de chaves de API, exclusão acidental de arquivos e vazamento de dados. A fonte recomenda colocar ferramentas bash em sandbox ou usar um serviço gerenciado.

OpenClawRadar