Descoberta Impulsionada por IA Revela 12 Zero-Days Críticos no OpenSSL em Achado Histórico

Sistema de IA Descobre 12 Vulnerabilidades Zero-Day no OpenSSL

Um sistema de pesquisa de segurança impulsionado por IA, desenvolvido pela AISLE, identificou 12 vulnerabilidades zero-day até então desconhecidas no OpenSSL, divulgadas no lançamento de segurança de 27 de janeiro de 2026 do projeto. As descobertas marcam um marco histórico na pesquisa automatizada de vulnerabilidades, com o sistema de IA sendo creditado por 13 das 14 CVEs do OpenSSL atribuídas em 2025 e 15 no total em duas versões recentes — uma concentração sem precedentes para qualquer equipe de pesquisa, muito menos uma impulsionada por IA.

Detalhes Técnicos das Vulnerabilidades

As falhas descobertas incluem CVE-2025-15467, um estouro de buffer na pilha no parsing de mensagens CMS, classificado como ALTA severidade pelo OpenSSL e CRÍTICA (9.8 CVSS) pelo NIST. Esta vulnerabilidade é explorável remotamente sem material de chave válido, e código de exploração já surgiu online. Destacam-se:

• Três vulnerabilidades datavam de 1998–2000, escapando da detecção por mais de 25 anos, apesar de extensos testes de fuzzing e auditorias.
• Uma falha originou-se do SSLeay, o precursor do OpenSSL, antecedendo o próprio projeto.
• Cinco das doze vulnerabilidades incluíam patches gerados por IA, que foram aceitos na versão oficial do OpenSSL.

O código-base do OpenSSL, submetido a milhões de horas-CPU de fuzzing e auditorias por equipes como a do Google, há muito era considerado um benchmark para o desenvolvimento de software seguro. Essas descobertas desafiam suposições sobre a eficácia dos métodos tradicionais de descoberta de vulnerabilidades.

Impacto e Implicações

A descoberta sublinha o potencial transformador da IA na pesquisa em cibersegurança, demonstrando sua capacidade de revelar falhas históricas profundas que escaparam à análise humana e de máquinas por décadas. No entanto, a natureza de duplo uso da descoberta de vulnerabilidades impulsionada por IA levanta questões críticas:

• Aplicações ofensivas: Atores de ameaças podem utilizar sistemas de IA semelhantes para identificar e explorar zero-days em escala.
• Avanços defensivos: Ferramentas impulsionadas por IA podem acelerar a correção de vulnerabilidades e reduzir janelas de exposição para softwares críticos.
• Mudança de paradigma na pesquisa: A concentração de descobertas por um único sistema de IA sugere uma nova era de pesquisa de segurança automatizada, onde a IA complementa (ou potencialmente supera) os esforços humanos.

Recomendações para Equipes de Segurança

1. Priorizar a aplicação de patches: Organizações que utilizam OpenSSL devem aplicar imediatamente a atualização de segurança de 27 de janeiro de 2026, especialmente para CVE-2025-15467 e outras falhas de alta severidade.
2. Monitorar o desenvolvimento de exploits: Dada a disponibilidade pública de código de exploração para CVE-2025-15467, as equipes de segurança devem intensificar a monitorização de padrões de ataque relacionados.
3. Avaliar ferramentas impulsionadas por IA: Considerar a integração de ferramentas de descoberta de vulnerabilidades baseadas em IA em fluxos de trabalho internos de pesquisa de segurança e equipes vermelhas (red teams).
4. Revisar código legado: A descoberta de vulnerabilidades com 25 anos destaca a necessidade de auditorias retrospectivas em bases de código fundamentais, mesmo aquelas consideradas bem auditadas.

As descobertas da equipe da AISLE sinalizam um momento divisor de águas na cibersegurança, onde a IA não é mais uma ferramenta suplementar, mas um motor primário de descoberta de vulnerabilidades. À medida que as capacidades da IA avançam, tanto defensores quanto atacantes dependerão cada vez mais desses sistemas, remodelando o cenário de ameaças em tempo real.