A expansão da inteligência artificial no desenvolvimento de aplicações, automações e fluxos de negócio está criando uma nova camada de pressão sobre as empresas. Ao mesmo tempo em que acelera a inovação, a tecnologia amplia a superfície de ataque e reduz o tempo disponível para identificar, validar e corrigir falhas exploráveis. Essa foi a leitura apresentada por Rodrigo Gava, CTO da Vultus, durante participação no You sh0t the Sheriff 18, o YSTS 2026.
Para o executivo, o mercado vive uma mudança estrutural na dinâmica da segurança digital. “Vivemos um momento sem precedentes em termos de risco cibernético”, afirmou Gava, ao contextualizar o avanço da IA em ambientes corporativos. Segundo ele, o desenvolvimento assistido por IA, muitas vezes associado ao chamado “vibe coding”, trouxe uma velocidade inédita para criação de aplicações, automações, integrações e fluxos de negócio.
O ganho de produtividade, porém, vem acompanhado de um efeito colateral direto: a superfície de ataque cresce na mesma proporção em que novos ativos digitais são criados. APIs, contas, integrações, aplicações, fluxos automatizados e ambientes em cloud passam a compor uma rede cada vez mais ampla de exposição. Nas palavras de Rodrigo Gava, “a superfície de ataque está crescendo em progressão geométrica”.
A tempestade perfeita da segurança digital
Na avaliação de Gava, o cenário atual reúne três movimentos simultâneos: superfícies digitais crescendo rapidamente, atacantes operando com mais escala e empresas ainda dependentes de ciclos de validação manuais, episódicos e lentos. Essa combinação forma o que ele classifica como uma “tempestade perfeita” para o risco cibernético.
“Temos uma tempestade perfeita: superfícies crescendo, atacantes ficando mais rápidos e empresas tentando responder com ciclos de validação ainda muito manuais, episódicos e lentos”, afirmou.
O impacto prático dessa mudança aparece no encurtamento do intervalo entre exposição e exploração. Antes, muitas organizações conseguiam conviver por mais tempo com falhas conhecidas, credenciais expostas ou configurações frágeis porque o atacante tinha limitações de tempo, foco e custo operacional. Com IA, essa barreira diminui.
Segundo Rodrigo Gava, “o impacto mais importante é que o tempo entre exposição e exploração está diminuindo”. Isso significa que uma credencial vazada, uma aplicação exposta, uma falha de configuração em cloud, uma VPN mal protegida ou uma conta sem MFA deixam de ser apenas riscos em backlog. Esses pontos passam a representar oportunidades que podem ser testadas, correlacionadas e exploradas com maior velocidade.
A IA, nesse contexto, não cria necessariamente uma nova categoria de ataque. Ela aumenta a eficiência de técnicas já conhecidas. Engenharia social fica mais convincente. Reconhecimento se torna mais rápido. Campanhas passam a ser mais bem contextualizadas. Exploração de superfícies fica mais automatizável. Com isso, controles que pareciam suficientes começam a não acompanhar a nova velocidade do adversário.
“O ponto não é que a IA criou magicamente um novo tipo de ataque. O ponto é que ela melhora a eficiência de técnicas que já funcionavam”, destacou Rodrigo Gava.
Validação ofensiva precisa acompanhar o ritmo dos ataques
A principal consequência para empresas é a necessidade de rever o modelo de validação de segurança. Avaliações pontuais, scans isolados e auditorias espaçadas continuam tendo utilidade, mas deixam lacunas em ambientes que mudam todos os dias.
Para o CTO da Vultus, “não dá mais para validar segurança em ciclos longos”. A defesa precisa abandonar o modelo em que riscos são identificados de forma episódica e passam meses em filas de priorização manual. Em seu lugar, ganha força uma abordagem de validação contínua, baseada em evidência técnica e impacto real.
Esse é o contexto em que a Vultus desenvolveu um agente autônomo de validação ofensiva. A proposta não é substituir o olhar humano nem criar apenas mais uma ferramenta de varredura, mas ampliar a capacidade de testar hipóteses de ataque com velocidade, profundidade e contexto.
“Um agente autônomo de validação ofensiva não é simplesmente um scanner mais inteligente”, explicou Rodrigo. Segundo ele, a tecnologia embarca técnicas e táticas desenvolvidas ao longo de mais de 15 anos de atuação da Vultus em segurança ofensiva no Brasil. O diferencial está na forma de observar a superfície digital. Em vez de listar achados desconectados, o agente tenta enxergar o ambiente como um adversário faria. “Ele olha para a superfície como um adversário olharia”, afirmou o executivo.
Na prática, isso significa correlacionar exposição externa, padrões de tecnologia, identidade, credenciais, configurações, comportamento de aplicações e caminhos potenciais de exploração. A pergunta que orienta essa abordagem é simples, mas poderosa: “se eu fosse tentar comprometer essa organização, por onde começaria?”.
Evidência técnica ganha peso na priorização executiva
Um dos pontos centrais da palestra foi a diferença entre apontar vulnerabilidades e comprovar explorabilidade. Em muitas empresas, times de segurança convivem com longas listas de achados, classificações genéricas e backlogs difíceis de priorizar. O problema é que nem todo apontamento representa o mesmo nível de impacto para o negócio.
Para Rodrigo, “a evidência não pode ser só declaratória. Ela precisa demonstrar viabilidade”. Essa visão muda a forma como a segurança conversa com áreas técnicas e executivas. Em vez de apenas informar que algo pode estar vulnerável, a validação ofensiva busca demonstrar se aquilo realmente pode se transformar em um caminho de ataque.
A velocidade também entra como fator determinante. Agentes autônomos conseguem executar múltiplas hipóteses em paralelo, correlacionar sinais e produzir documentação técnica em um formato consumível por diferentes públicos. O objetivo não é apenas encontrar mais achados, mas reduzir o tempo entre a identificação de um possível risco e a compreensão de sua relevância.
Case mostrou riscos que scanners tradicionais não encontrariam
Durante a apresentação no YSTS 2026, a Vultus compartilhou um case envolvendo uma aplicação web. O agente autônomo identificou 89 vulnerabilidades únicas, sendo 21 críticas, 29 altas, 21 médias, 12 baixas e 6 informativas. Todos os achados foram acompanhados de evidência técnica e documentação completa, com taxa de falso positivo de 0% dentro dos critérios do teste.
Para Rodrigo Gava, o resultado mais relevante não foi apenas o volume de vulnerabilidades, mas a profundidade da análise. O dado mais expressivo do case foi que “100% das vulnerabilidades críticas encontradas não eram identificáveis por um scan tradicional”. Essa constatação reforça uma mudança importante na leitura do risco cibernético moderno. Muitas falhas relevantes não aparecem quando a aplicação é analisada apenas como uma lista de CVEs ou como um conjunto de endpoints isolados.
O risco real, muitas vezes, está em comportamento, fluxo, lógica de negócio, autorização, sessão, identidade e encadeamento. O case também registrou um exemplo de Account Takeover a partir de apenas quatro requisições, nos primeiros dez segundos de teste. Além disso, foram identificadas sete killchains, com impacto potencial OWASP de 7,8 em 9 e probabilidade potencial de 7,9 em 9.
Riscos modernos vivem entre camadas
Os riscos mais difíceis de detectar não estão necessariamente em falhas isoladas. Muitas vezes, surgem da combinação entre permissões, fluxos legítimos, dados expostos, identidades frágeis e configurações inconsistentes.
A automação ofensiva da Vultus busca revelar justamente esses riscos compostos. Entre os exemplos citados estão falhas de autorização, problemas de lógica de negócio, abuso de fluxo, exposição de dados em jornadas aparentemente legítimas, fragilidades de sessão, inconsistências entre perfis de usuário, caminhos de Account Takeover e combinações que só ficam claras quando a aplicação é testada como um adversário a testaria. “O problema raramente é um único erro isolado. O problema é a soma de fragilidades que, juntas, viram caminho de intrusão”, afirmou Rodrigo.
Essa leitura também aparece no Panorama do Risco Cibernético no Brasil, estudo recente divulgado pela Vultus e citado pelo executivo. Segundo ele, ataques continuam funcionando por caminhos conhecidos, como abuso de credenciais, falhas de identidade, configurações inseguras, engenharia social e vulnerabilidades de software. A diferença é que esses elementos, quando combinados, ganham capacidade de impacto maior.
Empresas melhoram, mas adversários aceleram mais
Outro alerta feito por Gava envolve o descompasso entre maturidade corporativa e evolução do atacante. Segundo ele, a maturidade geral das organizações vem evoluindo, mas a probabilidade de ocorrência de ataques aumentou 3,7%, conforme leitura do Panorama citado pela Vultus.
“As empresas estão melhorando, mas o atacante está acelerando mais rápido”, afirmou o CTO. Essa frase resume o principal desafio para CIOs e CISOs: não basta evoluir de forma incremental se a velocidade da ameaça cresce em ritmo superior.
Setores com grande superfície digital tendem a sentir esse movimento com mais intensidade. Indústria, saúde, telecom, varejo, energia, financeiro e mercado de capitais aparecem entre os segmentos mais expostos, cada um com características próprias.
Na indústria, uma intrusão pode transbordar do ambiente digital para a operação física. Na saúde, disponibilidade, dados sensíveis e continuidade de atendimento caminham juntos. No varejo, canais digitais, e-commerce, meios de pagamento e integrações ampliam a superfície. Em telecom, o acesso indevido a redes operacionais pode ser explorado em contextos como SIM Swap. No financeiro e no mercado de capitais, a maturidade tende a ser maior, mas o interesse dos adversários também é elevado.
Para Gava, “porte e orçamento não são garantia de perenidade digital”. O fator decisivo passa pela capacidade de executar bem fundamentos como simulações reais de adversário, governança de identidade, fechamento de exposição, detecção, resposta e continuidade.
IA em segurança ofensiva exige governança
Apesar do potencial da automação, a adoção de IA em testes de segurança precisa ser tratada com responsabilidade. A recomendação da Vultus é que empresas evitem experimentos desgovernados, especialmente em atividades ofensivas. “A primeira recomendação é tratar IA em segurança ofensiva como capacidade crítica, não como experimentos soltos e desgovernados”, afirmou Rodrigo.
Isso exige gestão de ativos de IA, definição de escopo, regras de engajamento, limites de execução, trilhas de auditoria, proteção de dados, segregação de ambientes e supervisão humana. A organização precisa saber onde os dados trafegam, como são processados, se são armazenados e qual é o modelo de responsabilidade envolvido.
O executivo também reforça que a governança começa pelo conhecimento dos próprios ativos. “Se não conhecemos, não protegemos”, resumiu. Esse ponto é especialmente relevante em ambientes nos quais dados sensíveis, credenciais, códigos proprietários ou informações estratégicas podem ser expostos a modelos ou plataformas sem controle adequado. A autonomia não elimina a necessidade de regras. Pelo contrário, aumenta a importância de limites claros.
“É fundamental não confundir autonomia com ausência de governança”, alertou. Segundo ele, o futuro não é permitir que agentes atuem sem direção. “O futuro não é deixar um agente ‘sair atacando’”, afirmou.
Defesa cibernética será humana com agentes
Para a Vultus, agentes autônomos devem ocupar um espaço cada vez mais relevante entre exposição, validação ofensiva, defesa e resposta. Hoje, muitas empresas possuem diversas ferramentas, mas ainda sofrem com baixa correlação entre sinais. Uma solução aponta vulnerabilidades. Outra indica configurações em cloud. Uma terceira alerta sobre identidade. Um SIEM mostra eventos. O risco real, no entanto, está na conexão entre esses elementos.
Agentes autônomos tendem a atuar justamente nessa camada intermediária: conectar sinais, formular hipóteses, testar viabilidade, produzir evidência e ajudar na priorização. Eles devem se integrar a plataformas de exposição, gestão de vulnerabilidades, SIEM, SOAR, EDR, identidade, cloud security e workflows de remediação.
Ainda assim, ele defende um modelo híbrido. O agente acelera análise e validação. O humano define estratégia, contexto de negócio, apetite de risco e decisão. “O futuro da defesa cibernética não será humano versus agente. Será humano com agentes, operando em uma velocidade compatível com o adversário”, afirmou.
Vultus reforça atuação em segurança ofensiva e gestão de risco
A Vultus é uma consultoria especializada em gestão de riscos cibernéticos, com atuação em Segurança Ofensiva, Gestão de Vulnerabilidades & Exposição, SOC & Threat Intelligence e GRC. Com mais de 18 anos de atuação no contexto brasileiro, a empresa apoia organizações estratégicas na tomada de decisões técnicas e executivas a partir de evidências reais de risco.
Na prática, a companhia ajuda empresas a entender onde o risco realmente está, qual é o impacto potencial para o negócio e o que deve ser priorizado para aumentar resiliência. Essa atuação passa por Red Team, validação ofensiva, gestão baseada em risco, inteligência de ameaças, governança, continuidade e resposta.
Além da atuação comercial, a Vultus desenvolve iniciativas como o Panorama do Risco Cibernético no Brasil, já em sua segunda edição, e manifestos sobre a mudança dos paradigmas de cibersegurança diante da aceleração provocada pela IA.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!