Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A IA está se mostrando melhor do que o esperado na localização de bugs antigos e obscuros.
- Infelizmente, a IA também é boa em encontrar bugs para os hackers explorarem.
- Resumindo, a IA ainda não está pronta para substituir programadores ou profissionais de segurança.
Em um recente LinkedIn post, o CTO do Microsoft Azure, Mark Russinovich, disse que usou o novo modelo de IA da Anthropic, Claude Opus 4.6, para ler e analisar o código assembly que ele escreveu em 1986 para o processador Apple II 6502.
Além disso: Por que a IA é uma maldição e uma bênção para o software de código aberto – de acordo com os desenvolvedores
Claude não apenas explicou o código; realizou o que ele chamou de “auditoria de segurança”, revelando erros lógicos sutis, incluindo um caso em que uma rotina falhou ao verificar o sinalizador de transporte após uma operação aritmética.
Esse é um bug clássico que esteve escondido, adormecido, por décadas.
As boas e as más notícias
O experimento de Russinovich é impressionante porque o código é anterior às linguagens, estruturas e listas de verificação de segurança atuais. No entanto, a IA foi capaz de raciocinar sobre o fluxo de controle de baixo nível e os sinalizadores da CPU para apontar defeitos reais. Para desenvolvedores veteranos, é um lembrete de que bases de código de longa duração ainda podem conter bugs com os quais as ferramentas convencionais e os desenvolvedores aprenderam a conviver.
Além disso: 7 técnicas de codificação de IA que uso para enviar produtos reais e confiáveis - rápido
No entanto, apesar do progresso, alguns especialistas acreditam que esta experiência suscita preocupações.
Como disse Matthew Trifiro, um veterano engenheiro de entrada no mercado: “Nossa, estou vendo isso certo? O superfície de ataque expandida para incluir todos os binários compilados já enviado. Quando a IA consegue fazer a engenharia reversa de arquiteturas obscuras de 40 anos tão bem, as abordagens atuais de ofuscação e segurança através da obscuridade são essencialmente inúteis.”
Trifiro faz questão. Por um lado, a IA nos ajudará a encontrar bugs para que possamos corrigi-los. Essa é a boa notícia. Por outro lado, e aqui estão as más notícias, a IA também pode invadir programas ainda em uso que não estão mais sendo corrigidos ou suportados.
Como Adedeji Olowe, fundador da Lendsqrdestacou: “Isso é mais assustador do que estamos deixando transparecer. Bilhões de microcontroladores legados existem globalmente, muitos provavelmente executando firmwares frágeis ou mal auditados como este.”
Além disso: o novo computador da Perplexity é uma versão mais segura do OpenClaw? Como funciona
Ele continuou: “A verdadeira implicação é que os malfeitores podem enviar modelos como o Opus atrás deles para encontrar vulnerabilidades sistematicamente e explorá-las, enquanto muitos desses sistemas são efetivamente impossíveis de serem corrigidos”.
LLMs complementando ferramentas de detecção
Ferramentas tradicionais de análise estática, como SpotBugs, CódigoQLe Código Snyk verifique o código-fonte em busca de padrões associados a bugs e vulnerabilidades. Essas ferramentas são excelentes na detecção de problemas bem compreendidos, como desreferências de ponteiro nulo, padrões de injeção comuns e uso indevido de API, e fazem isso em grande escala em grandes bases de código Java e de outras linguagens.
Agora, ficou claro que modelos de linguagem grande (LLMs) podem complementar essas grandes ferramentas de detecção. Em um Estudo comparativo de 2025, LLMs como GPT-4.1, Mistral Large e DeepSeek V3 foram tão bons quanto analisadores estáticos padrão do setor na localização de bugs em vários projetos de código aberto.
Além disso: esta nova ferramenta Claude Code Review usa agentes de IA para verificar se há bugs em suas solicitações pull – veja como
Como esses modelos fazem isso? Em vez de perguntar: “Esta linha viola a regra X?”, o LLM está efetivamente perguntando: “Dado o que este sistema deve fazer, onde estão os modos de falha e os caminhos de ataque?” Combinada, esta abordagem é uma combinação poderosa.
Por exemplo, Claude Opus 4.6 AI da Anthropic está ajudando a limpar o código-fonte aberto do Firefox. De acordo com Mozilla, A equipe Frontier Red da Anthropic encontrou mais bugs de alta gravidade no Firefox em apenas duas semanas do que as pessoas normalmente relatam em dois meses. Mozilla proclamou: “Isso é evidência clara de que a análise em grande escala assistida por IA é uma nova adição poderosa à segurança caixa de ferramentas dos engenheiros.”
A Anthropic não é a única organização que usa mecanismos de IA para encontrar bugs no código. Sinal do Pato Preto O produto, por exemplo, combina vários LLMs, servidores Model Context Protocol (MCP) e agentes de IA para analisar código de forma autônoma em tempo real, detectar vulnerabilidades e propor correções.
Também: Usei Claude Code para codificar um aplicativo Mac em 8 horas, mas deu mais trabalho do que mágica
Enquanto isso, consultorias de segurança, como Grupo NCCestão experimentando plug-ins com tecnologia LLM para ferramentas de engenharia reversa de software, como Ghidrapara ajudar a descobrir problemas de segurança, incluindo possíveis estouros de buffer e outros problemas de segurança de memória que podem ser difíceis de detectar.
Passando nas verificações de segurança para IA
Esses sucessos não significam que estamos prontos para passar nossas verificações de segurança para a IA. Longe disso.
Também: Tentei economizar US$ 1.200 com vibe coding de graça – e rapidamente me arrependi
Os pesquisadores descobriram que a descoberta de bugs baseada em LLM não é um substituto imediato para pipelines de análise estática maduros. Estudos que comparam agentes de codificação de IA com desenvolvedores humanos mostram que, embora a IA possa ser prolífica, ela também introduz falhas de segurança em taxas mais altas, incluindo manuseio inseguro de senhas e referências de objetos inseguras.
Código Coelho descobriu “que existem alguns bugs que os humanos criam com mais frequência e alguns que a IA cria com mais frequência. Por exemplo, os humanos criam mais erros de digitação e códigos difíceis de testar do que a IA. Mas no geral, A IA criou 1,7 vezes mais bugs que os humanos.
As ferramentas de geração de código prometem velocidade, mas são prejudicadas pelos erros que introduzem. Não são apenas pequenos bugs: a IA criou de 1,3 a 1,7 vezes mais problemas críticos e importantes.”
Além disso: lançando IA? 5 táticas de segurança que sua empresa não pode errar – e por quê
Você também pode perguntar a Daniel Stenberg, criador do popular programa de transferência de dados de código aberto curvatura. Ele reclamou em voz alta e legítima que seu projeto foi inundado com relatórios de segurança falsos escritos por IA que afogam os mantenedores em trabalho inútil.
A moral da história
A IA, nas mãos certas, é um ótimo assistente, mas não está pronta para ser um programador ou verificador de segurança de ponta. Talvez algum dia, mas não hoje. Portanto, use a IA com as ferramentas existentes com cuidado e seus programas serão muito mais seguros do que são atualmente.
Quanto ao código antigo, bem, isso é uma preocupação real. Prevejo pessoas substituindo dispositivos alimentados por firmware devido a temores realistas de que em breve eles serão comprometidos.
