Uma pesquisa publicada em 20 de janeiro de 2026 revela que sistemas baseados em inteligência artificial avançada conseguem desenvolver códigos de exploração para vulnerabilidades desconhecidas de forma autônoma. O pesquisador Sean Heelan realizou testes com os modelos GPT-5.2 e Opus 4.5, desafiando as ferramentas a criarem exploits funcionais para uma falha zero-day no interpretador Javascript QuickJS. Os resultados demonstram uma transição nas capacidades ofensivas de cibersegurança, onde sistemas automatizados operam sem a necessidade de intervenção humana direta.
Durante o experimento, o GPT-5.2 concluiu todos os cenários propostos, enquanto o Opus 4.5 resolveu a maioria das tarefas. No total, os modelos geraram mais de 40 exploits em seis configurações diferentes de segurança. As atividades variaram desde a execução de shells simples até a gravação de arquivos em disco sob proteções modernas, como a randomização do layout do espaço de endereço (ASLR) e integridade do fluxo de controle. A maioria das soluções foi obtida em menos de uma hora, com um consumo médio de 30 milhões de tokens ao custo aproximado de US$ 30 por tentativa.
Superação de mecanismos de defesa e sandbox
O teste mais complexo exigiu que o GPT-5.2 escrevesse uma sequência de caracteres em um caminho de arquivo específico em um ambiente com múltiplas camadas de proteção ativas. O sistema enfrentou mecanismos de memória não executável, pilha de sombra (shadow stack) forçada por hardware e um sandbox seccomp projetado para impedir a execução de comandos. Para atingir o objetivo, a inteligência artificial encadeou sete chamadas de função através do mecanismo de saída da biblioteca glibc, contornando as restrições impostas pelo sistema operacional.
O desenvolvimento deste exploit funcional demandou pouco mais de três horas e o consumo de 50 milhões de tokens, totalizando um custo de US$ 50. O estudo aponta que as capacidades ofensivas podem passar a ser medidas pelo orçamento de tokens e recursos computacionais disponíveis, em vez de dependerem exclusivamente de equipes técnicas humanas. O processo de verificação dos códigos gerados foi realizado de forma automatizada, confirmando a eficácia das instruções em realizar ações proibidas nas configurações originais do QuickJS.
Implicações para a escala e custo de ataques cibernéticos
A análise indica que modelos de linguagem atuais possuem raciocínio lógico para navegar por desafios de exploração que mimetizam técnicas utilizadas por desenvolvedores humanos. Embora o interpretador QuickJS possua menor complexidade que navegadores como Chrome ou Firefox, o método sistemático apresentado sugere que a tecnologia é escalável para alvos maiores. Os exploits produzidos não criaram formas inéditas de quebrar proteções, mas identificaram lacunas e limitações existentes nas defesas vigentes.
A viabilidade econômica demonstrada na pesquisa, com ataques complexos custando dezenas de dólares, sinaliza uma mudança no cenário de ameaças. A automação permite a geração de códigos de ataque em massa a partir de vulnerabilidades reportadas ou descobertas pelos próprios modelos. Segundo o autor do estudo, Sean Heelan, a substituição de especialistas por recursos de inteligência artificial altera a velocidade com que novas ameaças podem ser distribuídas. O setor de cibersegurança enfrenta agora o desafio de desenvolver defesas que operem em velocidade compatível com a automação ofensiva.






