IA em pentest: descoberta em segundos, correção em semanas
O avanço recente da inteligência artificial em testes de intrusão trouxe um paradoxo incômodo para equipes de segurança: nunca foi tão rápido identificar vulnerabilidades, mas o ritmo de correção continua preso às limitações humanas, orçamentárias e de legado tecnológico. Esse foi o foco de um debate promovido pelo CISO Advisor com Bruno Telles, fundador da Bug Hunt, e Kaique Bonato, responsável por operações e serviços na Vantico.
Segundo os especialistas, a IA “turbinou” a fase de descoberta técnica, mas não resolveu – e nem vai resolver sozinha – o problema central: transformar achados em correções efetivas, priorizadas e alinhadas ao negócio. Como resumiu Telles, a tecnologia ajudou a democratizar o acesso a ferramentas sofisticadas, porém não conseguiu democratizar a experiência acumulada de quem entende de segurança, arquitetura de sistemas e contexto de negócio.
Entre as IAs citadas como mais promissoras para apoiar atividades de pentest, um dos destaques foi o modelo Claude, da Anthropic, descrito como extremamente poderoso para análise e raciocínio. Ainda assim, há limitações impostas pelo próprio fornecedor para respostas diretamente relacionadas a ciberataques, o que exige do profissional uma abordagem responsável, com prompts bem formulados e foco em defesa, não em exploração indiscriminada.
Bonato reforçou que a simples utilização de IA não transforma a máquina em um pentester autônomo. Não se trata de “abrir um prompt, colar uma URL e mandar a IA hackear o alvo”. Na prática, explicou, o que se viu foi um aumento expressivo de falsos positivos: relatórios indicando supostas falhas que, ao serem verificados por um especialista, revelam-se problemas inexistentes ou irrelevantes. A IA amplifica o volume de hipóteses; cabe ao profissional filtrar, testar, confirmar e traduzir isso em riscos reais.
Esse cenário ficou evidente nos programas de bug bounty geridos pela Bug Hunt. Telles relatou que o número de relatórios enviados por pesquisadores cresceu de forma significativa com a popularização de ferramentas de IA, mas a proporção de relatórios aprovados – de fato válidos, reproduzíveis e com impacto – não aumentou no mesmo ritmo. A explicação está na falta de contexto: a IA é excelente em analisar padrões de código e fluxos de requisição, mas não entende sozinha nuances de negócio, casos de uso nem decisões deliberadas de produto. Em alguns casos, aquilo que a IA classifica como vulnerabilidade é, na verdade, uma funcionalidade proposital.
A própria natureza do pentest intensifica o problema. Mesmo em modelos tradicionais, sem IA, já era comum que um único teste gerasse dezenas de achados, muitos deles de baixa criticidade. Com a IA alimentando scanners, scripts e análises automatizadas, esse volume tende a se tornar quase incontrolável. Bonato destacou que o ciclo não é imediato: descobrir hoje não significa corrigir amanhã. Normalmente são necessários dias – às vezes semanas – para entender o impacto real de cada vulnerabilidade na lógica de negócio, avaliar dependências técnicas e só então definir um plano de ação.
Nesse processo, falhas menos críticas costumam ir para o final da fila. Sob pressão de entregas, de novas funcionalidades e de incidentes mais urgentes, times de desenvolvimento e segurança acabam deixando vulnerabilidades classificadas como “baixa” ou “informativa” acumularem-se em um backlog que só cresce. O efeito colateral é conhecido: uma superfície de ataque cada vez maior, composta por pequenas brechas que, combinadas, podem abrir caminho para incidentes relevantes.
Telles chamou atenção para um ponto muitas vezes negligenciado: a correção é, por si só, uma disciplina complexa, tão ou mais difícil que a identificação da falha. Isso fica ainda mais crítico em ambientes com sistemas legados, sem manutenção adequada, em que os desenvolvedores originais já deixaram a empresa e a documentação é precária ou inexistente. Surge então a pergunta incômoda: como atualizar ou corrigir algo que ninguém conhece profundamente? Cada ajuste pode quebrar integrações, gerar indisponibilidade ou até criar novas falhas de segurança.
Nesse contexto, ambos os especialistas foram categóricos ao afirmar que a IA deve ser encarada como uma ferramenta estratégica no arsenal do pentester, e não como substituta da experiência humana. A visão de que “agora, com IA, qualquer um invade qualquer coisa” é um mito perigoso. Sem entendimento sólido de protocolos, arquiteturas, modelos de autenticação e lógicas de negócio, o profissional corre o risco de confiar cegamente em saídas automatizadas e produzir relatórios pouco úteis ou, pior, tomar decisões erradas de priorização.
Bonato reforçou ainda que a decisão de corrigir ou não determinada vulnerabilidade é, em última instância, uma escolha de negócio. Não basta olhar apenas para a gravidade técnica; é preciso considerar impacto em receita, imagem, conformidade regulatória, esforço de correção e possíveis efeitos colaterais. A segurança, segundo ele, precisa ser tratada como um tema corporativo, com envolvimento de liderança, áreas de produto, jurídico e RH, além de programas contínuos de conscientização e treinamento.
Como a IA está sendo usada hoje em pentest
Na prática, o uso maduro de IA em pentest tem se consolidado em alguns pilares:
1. Geração e revisão de scripts
Profissionais utilizam modelos de linguagem para criar, otimizar e comentar scripts em linguagens como Python, Bash ou PowerShell, acelerando a automação de testes repetitivos. A IA ajuda a remover erros básicos e sugerir melhorias, mas a lógica de ataque ainda é desenhada pelo pentester.
2. Auxílio em análise de código e revisões de segurança
Ferramentas de IA conseguem apontar trechos potencialmente vulneráveis a injeção de SQL, XSS, problemas de autenticação e autorização, entre outros. Porém, o veredito final sobre a criticidade e a real explorabilidade continua dependendo de quem conhece o sistema e os fluxos de negócio.
3. Suporte na elaboração de relatórios
Uma vez validados os achados, modelos de IA ajudam a produzir relatórios mais claros, com descrições didáticas, evidências organizadas e recomendações de correção. Isso torna a comunicação com desenvolvimento e gestão mais eficiente, desde que o conteúdo técnico seja revisado por um especialista.
4. Modelagem de cenários de ataque
A IA também é usada para simular possíveis caminhos de exploração, sugerindo combinações de falhas ou passos subsequentes a partir de um achado inicial. Aqui, o risco é o de “fantasia técnica”: a IA pode imaginar cenários teoricamente possíveis, mas inviáveis no ambiente real. Cabe ao pentester testar e descartar hipóteses irreais.
O gargalo estrutural: pessoas, processos e legado
O aumento no volume de vulnerabilidades descobertas pela IA escancara problemas que já existiam: falta de processos claros de priorização, escassez de profissionais especializados e dependência de sistemas antigos difíceis de manter. Entre os principais gargalos estão:
– Times de desenvolvimento sobrecarregados, que dividem o tempo entre novas entregas e correções de segurança.
– Ausência de métricas de risco consolidadas, o que leva gestores a tratar todos os achados como equivalentes ou, no outro extremo, ignorar boa parte deles.
– Infraestruturas híbridas e legadas, em que uma simples correção pode exigir testes extensos para garantir que nada quebre em produção.
– Falta de responsáveis claros (owners) para aplicações antigas, dificultando a tomada de decisão sobre desativar, modernizar ou apenas mitigar riscos.
Nessas condições, a IA funciona como uma lente de aumento sobre um problema organizacional. Ela não cria o gargalo, mas o torna impossível de ignorar.
Boas práticas para lidar com o “backlog infinito”
Para CISOs e gestores de segurança, o desafio agora é transformar a avalanche de achados em um fluxo de trabalho sustentável. Algumas práticas vêm se consolidando como fundamentais:
– Ranqueamento baseado em risco, e não apenas em criticidade técnica. Considerar exposição do ativo, dados envolvidos, valor de negócio e custo de correção.
– Adoção de SLAs realistas para tratamento de vulnerabilidades, diferenciando prazos para falhas críticas, altas, médias e baixas.
– Integração entre pentest, bug bounty, SIEM e processos de desenvolvimento seguro, evitando que cada área trabalhe em silos.
– Uso da própria IA para priorização automatizada, classificando achados, sugerindo agrupamentos por causa raiz e identificando padrões recorrentes.
– Programas de descomissionamento de sistemas legados, reduzindo o “esqueleto no armário” que consome orçamento e energia.
Com isso, a IA deixa de ser apenas uma geradora de tarefas e passa a ajudar a organizar o esforço de remediação.
O fator humano continua central
Apesar do fascínio com modelos cada vez mais capazes, a visão de Telles e Bonato converge em um ponto: segurança ainda é, essencialmente, um problema humano. São pessoas que desenham processos frágeis, expõem credenciais em repositórios, deixam portas abertas em firewalls ou aceitam riscos sem entender suas consequências. E são pessoas experientes que conseguem avaliar se uma vulnerabilidade supostamente crítica, na prática, tem impacto limitado, ou se uma falha “baixa” em determinada aplicação pode ser combinada a outra para gerar um ataque sério.
Nesse sentido, a IA só potencializa quem já é bom. Um pentester experiente, guiando a IA, consegue extrair valor real da ferramenta, explorando pontos cegos, acelerando análises e documentando melhor o que encontra. Já quem tem pouca base técnica tende a se apoiar cegamente nas respostas, aumentar o ruído e contribuir para relatórios inflados, mas de baixo valor.
Construindo uma cultura de segurança orientada a IA
O passo seguinte para as organizações é incorporar a IA de forma planejada em sua estratégia de segurança. Isso envolve:
– Definir diretrizes de uso responsável de IA em pentest e análise de segurança, evitando violações éticas ou legais.
– Capacitar equipes para formular bons prompts, interpretar respostas e entender limitações de cada modelo.
– Estabelecer revisões humanas obrigatórias antes de qualquer decisão relevante tomada com base em análise de IA.
– Monitorar resultados: medir quantos achados gerados por IA são validados, corrigidos e quantos se revelam falsos positivos.
– Incentivar ciclo de feedback entre pentesters, desenvolvedores e gestores, usando a IA para aprender continuamente com erros e acertos.
A meta não é substituir profissionais, mas elevar o patamar médio de maturidade, fazendo com que o tempo humano seja gasto naquilo que realmente exige julgamento, negociação e criatividade.
O futuro próximo: IA na correção, não só na descoberta
Hoje, o foco está muito na capacidade da IA de encontrar falhas. Porém, uma tendência forte é o uso de modelos especializados para apoiar também a fase de correção: sugerir patches, reescrever trechos de código com boas práticas, apontar alternativas menos arriscadas de arquitetura e antecipar o impacto de mudanças em sistemas complexos.
Mesmo assim, o paradoxo permanece: quanto mais fácil for encontrar vulnerabilidades, maior a pressão sobre times de segurança e desenvolvimento para decidir o que corrigir, quando e como. A organização que souber combinar IA com governança, métricas e cultura de segurança terá vantagem clara frente àquelas que apenas adicionarem mais scanners e modelos ao seu arsenal, sem mudar processos.
No fim, a inteligência artificial em pentest é um acelerador poderoso, mas não é uma solução mágica. Ela expõe com brutal clareza o que as empresas já sabiam, mas muitas vezes preferiam não encarar: o verdadeiro desafio não é descobrir falhas, é ter capacidade – técnica, organizacional e de negócio – para corrigi-las de forma consistente, antes que alguém as explore.