Um recente relatório de pesquisa liga os alarmes sobre como as ferramentas de segurança abertas e poderosas podem acabar sendo reutilizadas por intervenientes maliciosos. Especialistas da Team Cymru têm relacionado a plataforma de testes de segurança com inteligência artificial chamada CyberStrikeAI Com a infraestrutura utilizada numa campanha que comprometeu centenas de corta-fogos Fortinet FortiGate no início de 2026, e as implicações são profundas: uma ferramenta desenhada para automatizar auditorias pode facilitar ataques automatizados em grande escala.
A equipe liderada por Will Thomas (conhecida como BushidoToken) publicou uma análise no qual mostra que um endereço IP associado à campanha contra FortiGate estava executando um serviço identificado como CyberStrikeAI no porto 8080, e que havia tráfego entre esse IP e dispositivos Fortinet que foram alvo da intrusão. Você pode ler o relatório do Team Cymru aqui: Tracking CyberStrikeAI usage. Essa mesma atividade foi a que meses atrás descreveu também BleepingComputer ao detalhar o incidente massivo contra FortiGate.
CyberStrikeAI é um código aberto e seu repositório público descreve uma plataforma “nativa de IA” desenvolvida em Go que integra mais de uma centena de ferramentas tradicionais de segurança. Em sua página do GitHub, o projeto explica como combina scanners de rede, analisadores web, frameworks de exploração, ferramentas de crack de senhas e utilitários pós-explotação com um motor de decisão baseado em modelos de linguagem e agentes automáticos. O repositório do desenvolvedor aparece sob o alias Ed1s0nZ no GitHub, onde se podem ver também outros projetos de sua autoria orientados à busca de privilégios e escalada automatizada.
A potência do projeto reside na orquestração: combinar ferramentas maduras como nmap, masscan, sqlmap ou metasploit com agentes de IA e um coordenador que converta comandos conversacionais em cadeias de ataque completas reduz drasticamente a barreira técnica para realizar operações complexas. Team Cymru encontrou 21 endereços IP diferentes executando instâncias de CyberStrikeAI entre 20 de janeiro e 26 de fevereiro de 2026, principalmente alojadas na China, Singapura e Hong Kong, com presença adicional em EE. EUA, Japão e Europa.
Além da engenharia, os pesquisadores também analisaram o trasfondo do desenvolvedor. O perfil público do autor mostra atividade vinculada a outros projetos de IA para segurança —PrivHunterAI e InfiltrateX entre eles— e, segundo Team Cymru, existiram interações com organizações que foram apontadas anteriormente como relacionadas com operações afins ao Estado chinês. Em dezembro de 2025 o criador apresentou CyberStrikeAI no "Starlink Project" de Knownsec 404; Knownsec é uma assinatura chinesa com supostos vínculos governamentais que tem sido objeto de relatórios, como a análise publicada por DomainTools: The KnownSec leak. Além disso, a menção pública do desenvolvedor a uma recompensa da CNNVD foi eliminada do perfil mais tarde; a CNNVD é a base de dados chinesa de vulnerabilidades que alguns analistas têm associado a utilizações governamentais segundo relatos como o da CNNVD. Cyberscoop.
A convergência de IA e ferramentas de exploração levanta uma disjuntiva ética e prática. Por um lado, plataformas deste tipo podem acelerar testes legítimos e melhorar a preparação defensiva ao automatizar detecção, análise de cadeias de ataque e gestão de vulnerabilidades. Por outro lado, quando caem nas mãos erradas ou são usadas de infraestruturas controladas por atores hostis, favorecem a automação de ataques dirigidos contra dispositivos expostos na borda da rede, como corta-fogos, appliances VPN e equipamentos de acesso remoto, exatamente os objetivos observados na campanha contra FortiGate.
As consequências operacionais são claras: o uso de orquestradores de IA permite a operadores com habilidades limitadas executar campanhas sofisticadas de reconhecimento, exploração e pós-explotação sem necessidade de dominar cada ferramenta separadamente. Team Cymru adverte que esta dinâmica pode aumentar a velocidade e o alcance das campanhas à medida que mais atores adotam motores de orquestração semelhantes. A própria análise da equipe descreve a tendência e sugere que os defensores devem preparar-se para um ambiente em que ferramentas como a CyberStrikeAI reduzam significativamente o esforço necessário para explorar redes complexas.
Isso não é um fenômeno isolado: tanto provedores de segurança quanto pesquisadores alertaram sobre o abuso de modelos gerativos e plataformas comerciais de IA em atividades maliciosas. Em relatórios recentes, a indústria tem documentado como pessoas e grupos recorrem a modelos avançados para automatizar fases do ataque - desde a engenharia social até à geração de programas de exploração - amplificando assim a capacidade de atores com poucos recursos. Por isso, além da análise técnica, é imprescindível incorporar medidas organizadas de resposta e mitigação.
Na prática, a defesa deve combinar monitoramento de rede com controles de exposição no perímetro, gestão estrita de credenciais e governança clara sobre telemetria e acessos administrativos. As equipas de segurança precisam ter visibilidade do tráfego anormal, registos de auditoria integral e processos para detectar serviços não autorizados, como painéis web protegidos por senha ou servidores de orquestração que não fazem parte do inventário oficial. Da mesma forma, a atualização e o adesivo de dispositivos de borda ainda é essencial para fechar vetores que essas plataformas automatizadas exploram.
A lição que deixa este caso é dupla: as capacidades da IA para a cibersegurança são enormes e podem ser muito benéficas quando usadas com responsabilidade, mas essa mesma potência aumenta o dano quando se aplica para fins ofensivos. Para aprofundar a pesquisa do Team Cymru e contrastar os achados, você pode consultar seu relatório em: Tracking CyberStrikeAI usage, assim como a cobertura jornalística sobre a campanha FortiGate em BleepingComputer e o repositório do projeto em GitHub.
A discussão pública e técnica deve avançar em duas direcções: promover marcos que facilitem o uso responsável dessas plataformas em provas legais e consensuadas, e ao mesmo tempo desenvolver contramedidas que dificultem o seu abuso. Se a indústria, as empresas e os decisores políticos conseguirem coordenar, será possível aproveitar as virtudes da automação sem entregar aos atacantes uma fábrica de ataques em larga escala.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...