‹ voltar para ARES
©2026 · Manifesto Vultus

Manifesto sobre a era dos ataques autônomos

Entramos em uma nova era da segurança digital. Organizações expandem suas superfícies em ritmo exponencial, enquanto atacantes já usam Inteligência Artificial para explorar vulnerabilidades com mais velocidade, menor custo e escala muito maior.

Nova era

O que antes exigia tempo, contexto e orçamento agora começa a ser revelado por sistemas autônomos.

Usar Inteligência Artificial para acelerar negócios é fundamental. O efeito colateral é que a superfície digital cresce junto. Aplicações, APIs, integrações, credenciais, permissões e fluxos passam a acumular riscos que nem sempre foram identificados, validados ou priorizados.

A IA generativa tornou autônoma uma parte cada vez maior da descoberta ofensiva. Sistemas já conseguem ler aplicações, comparar respostas, testar hipóteses, insistir em fluxos e montar caminhos de ataque como um adversário avançado.

A superfície das empresas não ficou necessariamente pior de um dia para o outro. Mas ficou mais visível e exposta do que em toda a história.

Existe uma janela curta de adequação. A perenidade digital passa por estratégias que combinem testes autônomos contínuos, governança da adoção de IA e simulação adversarial híbrida.

Cobertura autônoma

Em 2026, a identificação autônoma deixa de se limitar ao SAST/DAST.

até 2025
100%do universo identificável
  • 30% identificáveis de forma autônoma via SAST/DAST
  • 70% dependiam de análise manual

A automação cobria apenas uma fração do universo identificável.

em 2026
100%do universo identificável
  • 30% autônomas via SAST/DAST
  • 45% agora identificáveis de forma autônoma com GenAI
  • 25% seguem exigindo análise manual

GenAI reduz drasticamente a lacuna entre o identificável e o autonomamente identificável.

O espaço que resta para análise 100% manual torna-se significativamente menor.

Adequação

Três princípios passam a sustentar a defesa.

01

Testes autônomos contínuos

Avaliações pontuais e calendários anuais deixam lacunas grandes demais. O teste precisa ganhar frequência, profundidade técnica e capacidade de tratar o que aparece.

02

Governança contínua da IA

Adoção de AI, deployments de software e expansão internet-facing precisam ser acompanhados como fatores diretos de aumento de superfície.

03

Simulação adversarial híbrida

Se o adversário é humano usando IA generativa, a simulação também precisa ser híbrida: máquina para escala, humano para direção, limite e impacto.

Princípios do teste autônomo

O foco não deve ser encontrar mais tickets, e sim revelar caminhos.

Antes do adversário

A prioridade é descobrir os caminhos de ataque que já existem na superfície digital da organização antes que alguém os explore.

A falsa paz acabou

O risco aumenta quando uma falha antiga se torna fácil de encontrar. A GenAI reduziu o custo da atenção ofensiva.

Sistemas vivos

Aplicações devem ser testadas com usuários, permissões, regras de negócio, APIs, erros, integrações e exceções.

Da exposição ao impacto

O teste precisa mostrar caminho: exposição, exploração, impacto e correção, não apenas uma lista isolada de vulnerabilidades.

#AIFirst + #InternetFacingFirst

A nova dinâmica prioriza o que pode ser automatizado e o que está exposto para a internet.

Scanners seguem úteis

Mas não bastam. Padrões estáticos e plugins ainda revelam vulnerabilidades, só que a nova fronteira exige hipóteses e exploração.

Humanos seguem essenciais

Pentesters e red teamers orientam, validam impacto, impõem limites e transformam achados em decisão.

Leitura executiva

Conselhos, executivos e CISOs precisam responder: o que está exposto, como pode ser abusado, qual seria o impacto e o que corrigir primeiro?

A era em que vulnerabilidades sobreviviam escondidas pelo custo de encontrá-las acabou. A GenAI baixou o preço da descoberta ofensiva.

Toda superfície será atacada.

A diferença está em quem chega primeiro: você ou o criminoso.

Falar com especialista
‹ voltar