Em questão de horas, a inteligência artificial pode criar um exploit apenas com base na descrição de uma vulnerabilidade. A comprovação está relatada por um especialista da ProDefense que conseguiu criar um exploit para uma vulnerabilidade crítica na biblioteca SSH para a linguagem Erlang em apenas uma noite (CVE-2025-32433). A ideia nasceu após uma postagem da Horizon3.ai, que falava sobre a facilidade de desenvolver um exploit para essa vulnerabilidade. O pesquisador Mateus Keeley decidiu verificar se isso era possível e comprovou que sim.
Leia também
Empresa oferece US$ 4M por exploit do Telegram
Exploit permitia reset e invasão remota de iPhones
Segundo ele, o GPT-4 e o Claude Sonnet 3.7 não apenas entenderam a essência da vulnerabilidade, mas também foram capazes de comparar o código corrigido com o original, encontrar diferenças e formular exatamente qual era a falha.
O modelo primeiro tentou gerar uma estrutura de fuzzing por conta própria e preparou o ambiente com sucesso: arquivos Docker, configurações vulneráveis do servidor SSH e comandos de teste. Embora o fuzzing não tenha produzido um resultado direto, foi um ponto de partida. Somente quando os arquivos diff do patch já publicado foram usadosé que o GPT-4 conseguiu escrever um PoC completo – e até mesmo explicou a lógica por trás da vulnerabilidade, apontando como a mudança de código adicionou proteção contra mensagens não autenticadas.
O primeiro exploit não funcionou — uma história comum para código gerado. Keely então trouxe outra ferramenta de IA, o Cursor, com o modelo Claude Sonnet 3.7, que cuidou da atualização. O resultado foi um PoC funcional criado em apenas algumas horas usando prompts e código-fonte aberto.
A velocidade com que agora é possível passar da publicação de um CVE para um ataque aumentou significativamente. Como o próprio Keely observa, isso costumava levar dias ou semanas – agora, um dia é suficiente.
