Facebook Twitter Youtube
Facebook Twitter Youtube

Ferramentas Gratuitas de IA da Anthropic e OpenAI Revelam Ponto Cego Estrutural do SAST Tradicional

A paisagem da segurança de aplicações acaba de ser transformada por dois gigantes da Inteligência Artificial. A Anthropic, com seu Claude Code Security, lançado em 20 de fevereiro, e a OpenAI, com o Codex Security, que estreou em 6 de março, entraram no mercado de segurança de código. Ambas as ferramentas utilizam o raciocínio avançado de Large Language Models (LLMs) em vez da tradicional correspondência de padrões, expondo falhas estruturais em ferramentas de Static Application Security Testing (SAST) que há muito tempo eram consideradas o padrão da indústria.

Essa competição acirrada entre laboratórios com uma avaliação de mercado combinada superior a US$ 1.1 trilhão significa que a qualidade da detecção de vulnerabilidades está prestes a melhorar exponencialmente. O mais notável: ambas as ferramentas estão sendo oferecidas gratuitamente para clientes empresariais, redefinindo a matemática de aquisição de soluções de segurança e forçando uma revisão imediata das estratégias de proteção de código.

Como a IA Está Redefinindo a Segurança de Código

Anthropic e OpenAI, de forma independente, chegaram à mesma conclusão: o SAST baseado em correspondência de padrões possui um limite inerente. Suas abordagens distintas, mas convergentes, evidenciaram classes inteiras de vulnerabilidades que as ferramentas tradicionais nunca foram projetadas para detectar.

A Abordagem da Anthropic: Claude Code Security

A Anthropic publicou sua pesquisa de zero-day em 5 de fevereiro, coincidindo com o lançamento do Claude Opus 4.6. A empresa afirmou que o Claude Opus 4.6 identificou mais de 500 vulnerabilidades de alta severidade anteriormente desconhecidas em bases de código-fonte aberto em produção. Essas vulnerabilidades haviam sobrevivido a décadas de revisão especializada e milhões de horas de fuzzing, uma técnica de teste para encontrar falhas de segurança. Por exemplo, na biblioteca CGIF, Claude descobriu um overflow de buffer de heap ao raciocinar sobre o algoritmo de compressão LZW – uma falha que o fuzzing não conseguiu capturar, mesmo com 100% de cobertura de código. O Claude Code Security foi lançado como uma prévia limitada de pesquisa, disponível para clientes Enterprise e Team, com acesso gratuito e acelerado para mantenedores de código aberto.

A Abordagem da OpenAI: Codex Security

A OpenAI, por sua vez, demonstrou capacidades impressionantes com o Codex Security, que evoluiu de uma ferramenta interna chamada Aardvark, impulsionada pelo GPT-5. Durante seu período beta, o agente da OpenAI escaneou mais de 1.2 milhão de commits em repositórios externos, revelando 792 descobertas críticas e 10.561 descobertas de alta severidade. As vulnerabilidades foram reportadas em softwares como OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP e Chromium, resultando em 14 CVEs atribuídas. A OpenAI relatou que as taxas de falso positivo do Codex Security caíram mais de 50% e a severidade superestimada diminuiu mais de 90% durante o beta.

Limitações e o Olhar Crítico da Indústria

Apesar dos números impressionantes, há um olhar crítico sobre essas novas ferramentas. Pesquisadores da Checkmarx Zero demonstraram que vulnerabilidades moderadamente complicadas conseguiram escapar da detecção do Claude Code Security, com a possibilidade de desenvolvedores enganarem o agente para ignorar código vulnerável. Em um escaneamento completo de uma base de código de produção, Claude identificou oito vulnerabilidades, mas apenas duas eram verdadeiros positivos. É importante notar que nem a Anthropic nem a OpenAI submeteram suas alegações de detecção a uma auditoria independente de terceiros, o que significa que os números reportados devem ser tratados como indicativos, e não auditados.

Impacto Imediato no Mercado e a Visão dos Especialistas

Merritt Baer, CSO da Enkrypt AI e ex-Deputy CISO da AWS, ressaltou em entrevista à VentureBeat que essa corrida competitiva por scanners de IA comprime a janela de tempo para todos. Ela aconselha as equipes de segurança a priorizar correções com base na explorabilidade em seu contexto de tempo de execução, em vez de depender apenas das pontuações CVSS. Além disso, é crucial encurtar o tempo entre a descoberta, triagem e aplicação de patches, e manter a visibilidade da lista de materiais de software (SBOM) para saber instantaneamente onde um componente vulnerável está sendo executado.

Baer foi enfática: vulnerabilidades de código-fonte aberto expostas por modelos de raciocínio devem ser tratadas mais como descobertas de classe zero-day do que como itens de backlog. A janela entre a descoberta e a exploração encolheu significativamente, e muitos programas de gerenciamento de vulnerabilidades ainda estão triando apenas com base no CVSS. Empresas financeiras e fintechs, em particular, devem assumir que se o Claude Code Security e o Codex Security podem encontrar esses bugs, adversários com acesso à API também podem.

A Resposta da Indústria: Snyk

A Snyk, uma plataforma de segurança para desenvolvedores, reconheceu o avanço técnico, mas argumentou que encontrar vulnerabilidades nunca foi a parte mais difícil. O verdadeiro gargalo, segundo a Snyk, é corrigi-las em escala, em centenas de repositórios, sem quebrar nada – um desafio que a IA ainda precisa ajudar a resolver de forma eficaz.

O Que Esperar: O Futuro da Segurança de Aplicações com IA

A chegada dessas ferramentas gratuitas da Anthropic e OpenAI marca um ponto de virada para a segurança de aplicações. Embora não substituam completamente as ferramentas existentes, elas prometem acelerar a inovação na detecção de vulnerabilidades e forçar uma reavaliação das abordagens tradicionais de segurança. A competição entre os líderes de Machine Learning garantirá que a capacidade de detecção de vulnerabilidades continue a melhorar a um ritmo sem precedentes.

Contudo, o caráter ‘dual-use’ dessas tecnologias significa que, enquanto elas protegem, também podem ser usadas para explorar. Empresas e desenvolvedores precisarão se adaptar rapidamente a essa nova realidade, implementando ciclos de correção mais rápidos e integrando as capacidades de IA em suas estratégias de segurança de forma proativa. O futuro da segurança de software passará, sem dúvida, pela inteligência artificial, mas também exigirá vigilância constante e uma abordagem holística para mitigar os novos riscos que surgem.

Gostou da notícia?

Inscreva-se na nossa newsletter para receber as principais novidades sobre inteligência artificial diretamente no seu e-mail.

Picture of Redação Mundo IA

Redação Mundo IA

Ver todas as matérias

Veja também

Agentes de IA: Spec-Driven Development é Crucial na Empresa

       

Stephen Quillen and Zaid SabahPublished On 14 Apr 202614 Apr 2026SaveClick here to share on socia...

Tensão no Golfo: Irã Acusa EUA de ‘Pirateria’ em Bloqueio de Ormuz; Trump Acena com Acordo

       

Woodson Martin, CEO da OutSystems (foto: divulgação)

Empresas Brasileiras Lideram em Adoção de IA Agêntica, Mas Governança e Legados Freiam Escalada, Diz OutSystems

       

Exame

Conteúdo Fora do Escopo: Notícia sobre BBB 26 Não se Alinha ao Portal de Tecnologia

       

Beyond Vector Search: Building a Deterministic 3-Tiered Graph-RAG System Image by Editor

Além da Busca Vetorial: Sistema Graph-RAG de 3 Camadas Promete IA Determinística

       

https://www.facebook.com/kdnuggets

Dicas Avançadas de NotebookLM: Maximize Sua Produtividade com Recursos de Ponta