Sistema de IA Descobre 12 Vulnerabilidades Zero-Day no OpenSSL, Curl Cancela Programa de Recompensas por Bugs Devido a Spam de IA

O sistema automatizado de IA da AISLE para descoberta de vulnerabilidades de cibersegurança encontrou todas as 12 vulnerabilidades de dia zero na recente atualização de segurança do OpenSSL, enquanto o curl cancelou seu programa de recompensa por bugs devido a envios de spam gerados por IA. Esta é a primeira demonstração real de cibersegurança baseada em IA nessa escala contra infraestrutura intensamente auditada.
Detalhes Principais da Fonte
O sistema de IA descobriu vulnerabilidades no OpenSSL, que sustenta a criptografia para pelo menos dois terços do tráfego mundial da internet. O sistema opera sob o pseudônimo "Tamanduá-Bandeira" em programas de recompensa por bugs e visa transformar pesquisas de segurança de elite em um processo industrial repetível.
Resultados anteriores do Outono de 2025 incluíram:
- CVE-2025-9230: Leitura/escrita fora dos limites na operação de desempacotamento KEK do RFC 3211 para criptografia baseada em senha do CMS, potencialmente levando a corrupção de memória ou execução de código. Este bug estava presente desde 2009.
- CVE-2025-9231: Canal lateral de temporização em assinaturas de curva elíptica SM2 em ARM de 64 bits, onde variações no tempo de execução poderiam permitir recuperação de chave privada através de observação remota.
- CVE-2025-9232: Leitura fora dos limites no tratamento de no_proxy do cliente HTTP ao analisar hosts IPv6, desencadeando uma falha controlada.
O sistema gerencia todo o ciclo, incluindo varredura, análise, triagem e construção de exploração. Os mantenedores do OpenSSL são famosamente conservadores sobre a emissão de CVEs, tornando sua aceitação um benchmark externo rigoroso.
Enquanto isso, o curl cancelou seu programa de recompensa por bugs devido a uma enxurrada de envios de spam gerados por IA, mesmo enquanto a AISLE reportou 5 CVEs genuínos para eles. Isso ilustra o impacto duplo da IA: colapsando a qualidade mediana dos envios enquanto eleva o teto para descobrir vulnerabilidades de dia zero reais em infraestrutura crítica.
O projeto de previsão Frontier of the Year 2025 colocou a descoberta de vulnerabilidades impulsionada por IA em infraestrutura crítica na posição #3 geral por impacto esperado, com probabilidade de 0,9 de generalização.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

O aplicativo Claude Desktop da Anthropic instala uma ponte de mensagens nativas não divulgada
O Claude Desktop instala silenciosamente uma extensão de navegador pré-autorizada que permite mensagens nativas, levantando preocupações de segurança.

O SDK de Acesso do Agente Bitwarden integra-se ao OneCLI para injeção segura de credenciais.
O novo Agent Access SDK do Bitwarden permite que agentes de IA acessem credenciais do cofre do Bitwarden com aprovação humana, enquanto o OneCLI atua como um gateway que injeta credenciais na camada de rede sem expor os valores brutos aos agentes.

FakeKey: Ferramenta de segurança para chaves de API baseada em Rust que substitui chaves reais por falsas
FakeKey é uma ferramenta de segurança baseada em Rust que substitui chaves de API reais por falsas em ambientes de aplicação, armazenando as chaves reais criptografadas no keychain nativo do sistema e injetando-as apenas durante solicitações HTTP/S.

Google TIG relata primeiro exploit de zero-day gerado por IA encontrado na natureza
O Google Threat Intelligence Group identificou um ator de ameaças usando uma exploração de dia zero supostamente desenvolvida com IA, marcando o primeiro uso ofensivo observado de IA para exploração de vulnerabilidades de dia zero.