Os dados recentes do OX Security, que examinaram 216 milhões de resultados de segurança em 250 organizações durante um trimestre, desenham uma realidade inquietante para as equipas de desenvolvimento e segurança: o volume bruto de alertas cresceu significativamente, mas o mais preocupante é que o número de riscos críticos priorizados tem sido muito mais rápido. Enquanto os alertas totais aumentaram cerca de 52% homólogas, a porção de achados que realmente representam um risco elevado para o negócio escalou quase quatro vezes, uma lacuna que obriga a repensar como é priorizado e repara a insegurança no software.
A era da velocidade traz uma nova classe de problemas. A adoção acelerada de ferramentas de assistência com IA no desenvolvimento está acelerando a criação de código e, com isso, o surgimento de vulnerabilidades mais complexas e dependentes do contexto. OX Security observa uma relação clara entre o uso de assistentes automáticos de programação e o incremento de achados críticos: a média por organização passou de pouco mais de 200 a quase 800. Isso não significa que a IA seja intrinsecamente insegura, mas aumenta a velocidade e a densidade de mudanças, e muitas práticas de análise tradicionais não estão preparadas para esse ritmo.
Esse desfase entre a velocidade de produção e a capacidade de remediação é o que alguns já chamam uma "brecha de velocidade". Quando o ritmo de mudanças supera a capacidade dos fluxos de trabalho de segurança para detectar, priorizar e consertar, a proporção de problemas realmente perigosos cresce mais rápido do que as ferramentas que os detectam. Consequentemente, a proporção de achados críticos sobre o total de alertas quase triplicou na análise de OX, passando de uma fração minúscula a um número que exige atenção operacional.
Importa menos a pontuação técnica e mais o contexto do negócio. Tradicionalmente, as organizações têm dependido de métricas como o CVSS para ordenar riscos, mas os achados recentes confirmam algo que muitos praticantes já suspeitavam: a gravidade técnica por si só não define o risco para a empresa. Fatores como se um componente processa dados pessoais sensíveis ou se faz parte de uma aplicação de alta prioridade para o negócio estão elevando achados a categoria crítica com muito mais frequência. Que uma vulnerabilidade exista em um serviço que maneja PII ou em uma peça do core bancário muda radicalmente a urgência de sua mitigação. Essa abordagem de priorização por contexto coincide com as recomendações de comunidades como OWASP sobre abordagens baseadas em risco real de negócios ( OWASP Risk Rating Methodology).
A atenção sobre dados pessoais não é casual: o processamento de PII foi um dos fatores que mais elevou a criticidade nos achados. Do ponto de vista regulatório e reputacional, expor informações pessoais gera impacto direto e sanções, como recordam guias de organismos como NIST sobre o tratamento de informações pessoais identificáveis ( NIST SP 800-122), portanto, priorizar segundo a sensibilidade dos dados é hoje uma prática indispensável.
Disparidades sectoriais e o caso do automóvel. A análise de OX também mostra que o risco não está distribuído homogêneamente entre setores. As empresas seguradoras apresentaram a maior densidade de achados críticos, provavelmente pela convergência entre sistemas legados que tratam dados sensíveis e novas plataformas digitais. Por sua vez, o setor automotivo gerou o volume bruto mais alto de alertas, o que faz sentido se se considera a explosão de software dentro dos veículos modernos: os carros estão se tornando plataformas definidas por software e isso multiplica a superfície de ataque. Vários testes industriais destacaram este fenômeno de rápida expansão do software no automóvel e as implicações para segurança e qualidade ( McKinsey: software-defined vehicles).
Tudo isto leva-nos a uma conclusão prática: a simples acumulação de digitalização e regras já não é suficiente. As ferramentas de linting e os scanners herdados continuam a ser úteis para filtrar problemas óbvios, mas a prioridade deve ser compreender o propósito do serviço, a sua exposição a dados sensíveis e a sua criticidade para o negócio. Esse olhar contextual exige integrar sinais além da vulnerabilidade técnica, incluindo telemetria de implantação, mapeamento de dependências e classificação de ativos segundo seu impacto.
O que deveriam mudar os equipamentos técnicos? Primeiro, as políticas de priorização devem evoluir: deixar de tratar todas as vulnerabilidades com a mesma métrica e adotar modelos que ponderem a localização da falha e a sensibilidade do ambiente. Em segundo lugar, a segurança tem de entrar mais cedo no ciclo de desenvolvimento e acompanhar a aceleração da IA. Integrar controlos de segurança na CI/CD, adicionar análises de contexto e automatizar parte do triage pode atenuar o fosso de velocidade. Terceiro, não basta detectar: é crucial fechar o ciclo com remédio e verificação em produção, e quando necessário, implantar mitigações compensatórias orientadas para o risco de negócio.
Finalmente, a comunidade e a indústria devem continuar a investigar o impacto das ferramentas da IA na segurança do software. Plataformas que oferecem assistentes de programação começaram a publicar guias e considerações de segurança para uso responsável, e as equipes devem combinar essas recomendações com controles internos rigorosos ( Guia de segurança e privacidade do GitHub Copilot). Além disso, os relatórios da indústria sobre o estado da segurança das aplicações, tais como empresas especializadas em testes e análises, podem servir de referência para compreender tendências e adaptar práticas.
A análise do OX Security, cuja versão completa com metodologia e medições setoriais está disponível em seu site ( OX Security), é um lembrete contundente: a transformação do desenvolvimento impulsionada por IA e a crescente complexidade do software exigem mudar a forma como valorizamos, priorizamos e arrumamos as vulnerabilidades. O objetivo já não é apenas reduzir o número de alertas, mas identificar e mitigar aquilo que realmente pode prejudicar o negócio e as pessoas que serve.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...