Anthropic e o novo desafio para times de segurança cibernética diante das ameaças geradas por IA
A Anthropic e outras empresas de inteligência artificial estão, sem querer, criando um novo tipo de pressão sobre os times de segurança cibernética ao redor do mundo. E essa história começa com um nome que talvez você não conheça, mas que está por trás de quase tudo que acontece na internet: Daniel Stenberg, o criador e principal mantenedor do cURL.
Em 2025, Stenberg recebeu nada menos que 181 notificações de bugs e vulnerabilidades no código que ele e outros seis voluntários mantêm. Para ter uma ideia do que isso significa, esse número é praticamente equivalente ao que foi acumulado nos dois anos anteriores combinados. Ou seja, em apenas 12 meses, o volume de alertas praticamente igualou o período de 2023 e 2024 juntos.
Sentado em seu escritório na Suécia, Stenberg resumiu a situação de um jeito bem direto: o ano passado foi bastante intenso em alguns períodos.
Mas o que explica esse salto tão abrupto?
A resposta tem tudo a ver com o avanço acelerado das ferramentas de inteligência artificial, que estão sendo usadas cada vez mais para rastrear falhas em projetos de código aberto. Muitas vezes, essas ferramentas geram um volume de alertas que equipes pequenas simplesmente não conseguem absorver no mesmo ritmo. O resultado é um cenário novo e preocupante para toda a cadeia de segurança cibernética global.
O cURL está em todo lugar, e isso importa muito
Para entender o tamanho do problema, primeiro vale saber o que é o cURL e por que ele é tão relevante. Trata-se de uma ferramenta de código aberto e uma biblioteca usada para transferir dados pela internet por meio de URLs. Ela está presente em praticamente todo servidor, dispositivo conectado e sistema operacional que existe hoje. Estima-se que o cURL rode em mais de 20 bilhões de instalações ao redor do mundo, de roteadores domésticos a supercomputadores industriais. É o tipo de software invisível que mantém a internet funcionando sem que a maioria das pessoas perceba.
O problema é justamente esse: quando uma ferramenta está presente em tanta coisa ao mesmo tempo, qualquer vulnerabilidade descoberta nela pode ter um efeito cascata imenso. Uma brecha no cURL não é um problema isolado de uma aplicação específica. Ela pode afetar simultaneamente sistemas de saúde, bancos, infraestruturas de governo e serviços de comunicação em escala global. É por isso que pesquisadores de segurança, hackers éticos e, agora, agentes de inteligência artificial prestam tanta atenção a esse código.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
O time que cuida de tudo isso é composto por apenas sete pessoas, a maioria voluntária. Daniel Stenberg é o rosto mais conhecido do projeto, mas o peso do trabalho recai sobre um grupo pequeno que precisa analisar cada relato recebido, verificar se a vulnerabilidade é real, avaliar o impacto, criar um patch e comunicar o problema de forma responsável antes que alguém mal-intencionado explore a falha. É um processo cuidadoso, técnico e extremamente desgastante, principalmente quando o volume de notificações começa a crescer de forma exponencial.
IA como ferramenta de busca de falhas: oportunidade ou sobrecarga?
O que mudou nos últimos meses foi a chegada massiva de ferramentas de inteligência artificial sendo aplicadas diretamente na análise de código aberto em busca de falhas de segurança cibernética. Empresas como a Anthropic, com seu modelo Claude, e outras do setor passaram a disponibilizar agentes de IA capazes de escanear repositórios inteiros, identificar padrões suspeitos e gerar relatórios automáticos de possíveis vulnerabilidades. O objetivo, em teoria, é nobre: quanto mais rápido as falhas forem encontradas, mais rápido elas podem ser corrigidas antes de causarem dano real.
Na prática, porém, o que aconteceu com o cURL revela uma face menos glamourosa desse avanço tecnológico. Muitos dos 181 relatórios recebidos por Stenberg em 2025 vieram de ferramentas automatizadas ou de pesquisadores que utilizaram IA como apoio para a descoberta. O grande desafio é que a IA ainda comete muitos erros do tipo falso positivo. Isso significa que ela identifica algo como uma potencial falha de segurança quando, na verdade, o comportamento do código é completamente intencional e seguro.
Cada um desses alertas, mesmo que equivocado, precisa ser investigado com seriedade pela equipe de mantenedores. Ignorar um relatório legítimo pode ter consequências graves para milhões de usuários ao redor do mundo. Essa dinâmica obriga os mantenedores a gastar horas analisando falsos alarmes, tempo que poderia ser investido em melhorias reais no projeto ou na correção de falhas genuínas.
Isso cria uma equação difícil de resolver. Por um lado, a IA está acelerando a descoberta de falhas reais, o que é genuinamente positivo para o ecossistema de segurança cibernética. Por outro, ela está inundando times pequenos com um volume de trabalho que simplesmente não existia antes, sem necessariamente oferecer os recursos humanos ou financeiros para lidar com essa nova demanda. O resultado é uma pressão crescente sobre pessoas que, muitas vezes, trabalham de forma voluntária e sem remuneração proporcional ao impacto que seu trabalho tem no mundo.
A diferença entre quantidade e qualidade nos relatórios
Um ponto que merece destaque nessa conversa é a diferença gritante entre a quantidade de relatórios gerados por IA e a qualidade real dessas descobertas. Quando um pesquisador humano experiente identifica uma vulnerabilidade, o relatório geralmente vem acompanhado de contexto, uma explicação sobre por que aquele comportamento é problemático, cenários de exploração e, em muitos casos, uma sugestão de correção. Isso facilita enormemente o trabalho do mantenedor.
Já os relatórios gerados por automação com apoio de IA muitas vezes carecem desse contexto. Eles apontam trechos de código que parecem suspeitos segundo padrões estatísticos, mas não explicam de forma convincente por que aquilo representa uma ameaça real. Para o time do cURL, isso significa que cada relatório precisa ser aberto, lido, investigado, testado e, em muitos casos, descartado depois de horas de análise. Stenberg chegou a comentar publicamente que alguns dos relatórios recebidos eram tão mal formulados e tão claramente gerados por automação sem revisão humana que levavam mais tempo para ser descartados do que os legítimos levavam para ser resolvidos.
O impacto real nos times de segurança ao redor do mundo
O caso do cURL não é isolado. Outros projetos de código aberto amplamente utilizados, como o OpenSSL e dezenas de bibliotecas críticas para a internet, também relataram aumento significativo no volume de notificações de vulnerabilidades nos últimos meses. O padrão é sempre parecido: uma ferramenta de inteligência artificial escaneia o repositório, gera uma lista de possíveis problemas e o pesquisador ou empresa por trás do scan envia tudo para o time de mantenedores sem necessariamente filtrar o que é relevante do que é ruído.
Para os profissionais de segurança cibernética que trabalham dentro de empresas, isso também representa um desafio concreto. Quando uma biblioteca como o cURL demora mais para lançar patches porque a equipe está sobrecarregada com relatórios, as empresas que dependem desse software ficam em uma posição delicada: esperam pela correção oficial ou tentam implementar soluções próprias? Esse dilema é real e está sendo discutido ativamente em fóruns de segurança, conferências como a DEF CON e em grupos privados de resposta a incidentes.
A Anthropic e outras empresas do setor de IA têm sido citadas nessas discussões como agentes que, mesmo com boas intenções, precisam pensar melhor em como seus modelos interagem com projetos de infraestrutura crítica. A preocupação não é com a existência dessas ferramentas em si, mas com a forma como elas estão sendo utilizadas sem o devido cuidado na etapa final, que é a triagem e validação dos resultados antes do envio.
A questão da responsabilidade no ecossistema
O debate vai além da técnica e entra em território de responsabilidade. Se uma empresa lança um agente de IA que gera centenas de relatórios automáticos de vulnerabilidades, ela tem alguma obrigação de também contribuir com os recursos necessários para que os mantenedores possam processar esses relatórios? Essa pergunta ainda não tem uma resposta clara no setor, mas ela está sendo feita cada vez com mais frequência.
Existe um paralelo interessante com o que aconteceu no passado com os programas de bug bounty. Quando grandes empresas começaram a pagar por descobertas de falhas em seus sistemas, o volume de relatórios cresceu dramaticamente, mas a qualidade média caiu. Muitas plataformas de bug bounty tiveram que implementar filtros rigorosos para evitar que relatórios genéricos ou duplicados entupissem as filas de revisão. Algo semelhante parece estar acontecendo agora com a IA, só que em uma escala ainda maior e atingindo justamente os projetos que menos têm recursos para lidar com isso.
O volume de alertas gerados por IA para projetos de código aberto cresceu de forma significativa em 2025, criando uma pressão nova e sem precedentes sobre times de segurança pequenos e frequentemente voluntários.
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
O que pode mudar daqui para frente
A boa notícia é que a conversa sobre esse desequilíbrio já começou a acontecer nos lugares certos. Algumas empresas de inteligência artificial, incluindo a Anthropic, têm investido em programas de financiamento e suporte a projetos de código aberto que são críticos para a infraestrutura da internet. A ideia é que, se as ferramentas de IA se beneficiam desses projetos e ao mesmo tempo criam pressão sobre eles, faz sentido que parte dos recursos gerados pelo setor volte para sustentar os mantenedores que mantêm tudo funcionando.
Além disso, há uma discussão crescente sobre a necessidade de padrões mínimos de qualidade para relatórios de vulnerabilidades gerados com apoio de IA. Assim como existe o processo de divulgação responsável, que define como e quando uma falha deve ser comunicada publicamente, especialistas de segurança cibernética argumentam que deveria haver um protocolo específico para relatórios gerados por automação, com filtros obrigatórios de relevância antes do envio. Isso reduziria o ruído e permitiria que times como o do cURL focassem no que realmente importa.
Iniciativas que podem ajudar na prática
Algumas ideias já estão sendo debatidas e testadas pela comunidade de segurança:
- Sistemas de triagem automatizada com revisão humana obrigatória antes do envio de relatórios a mantenedores de código aberto
- Classificação de confiança nos relatórios, indicando se a descoberta foi feita exclusivamente por IA, com assistência de IA ou por análise humana
- Fundos de suporte financeiro direcionados especificamente a projetos de código aberto que são alvo frequente de scans automatizados
- Limites de envio para ferramentas automatizadas que interagem com sistemas de reporte de vulnerabilidades, evitando a sobrecarga de relatórios em curtos períodos
- Parcerias entre empresas de IA e mantenedores para desenvolver pipelines de validação antes que os relatórios cheguem às equipes responsáveis
Essas medidas não resolveriam o problema da noite para o dia, mas criariam um ecossistema mais equilibrado onde a velocidade da IA não atropela a capacidade humana de resposta.
Um equilíbrio que ainda precisa ser encontrado
O que o caso de Daniel Stenberg e o cURL nos mostram, de forma bastante concreta, é que o avanço da inteligência artificial no campo da segurança cibernética é uma faca de dois gumes. Ela pode encontrar falhas que humanos levariam anos para descobrir, e isso é genuinamente incrível. Mas ela também pode criar um tsunami de trabalho para quem precisa validar, corrigir e comunicar essas falhas, sem que o ecossistema ao redor tenha ainda desenvolvido os mecanismos necessários para lidar com esse novo ritmo.
Equilibrar esses dois lados vai ser um dos grandes desafios do setor nos próximos anos. A tecnologia avança rápido, mas as estruturas humanas que sustentam a internet, muitas delas mantidas por voluntários apaixonados como Stenberg, precisam de apoio proporcional ao impacto que sofrem. Se o setor de inteligência artificial quiser genuinamente contribuir para um mundo digital mais seguro, vai precisar ir além de apenas encontrar problemas e começar a fazer parte das soluções de forma mais ativa e responsável. 🔐
