O início de 2026 traz uma notícia que merece atenção no ecossistema de segurança: ZAST.AI fechou uma rodada Pre-A de 6 milhões de dólares, liderada por Hillhouse Capital Consequentemente, o seu financiamento acumulado aproxima-se dos 10 milhões. Por trás do titular financeiro há uma aposta mais profunda: levar ao mercado uma forma diferente de detectar vulnerabilidades, focada em reduzir drasticamente os falsos alarmes que consomem tempo e recursos nas equipes de segurança.
A empresa, sediada em Seattle, publicou um relatório no qual documenta a sua atividade em 2025: a identificação de centenas de vulnerabilidades de dia zero em projetos de código aberto muito utilizados, e a gestão dessas incidências através de canais reconhecidos de divulgação. ZAST.AI afirma ter conseguido mais de uma centena de dotações de CVE; no seu comunicado e relatório, os pormenores técnicos e o alcance dos resultados podem ser consultados no seu relatório público publicado pela própria empresa.
Para entender por que isso é relevante convém lembrar como funciona o ecossistema de divulgação de vulnerabilidades. Um CVE (Common Vulnerabilities and Exposures) é um identificador padrão atribuído a uma vulnerabilidade reconhecida; entidades como MITRE e a base de dados nacional de vulnerabilidades NVD mantêm registros acessíveis para a comunidade. A atribuição de um CVE requer geralmente uma verificação e coordenação com os mantenedores, e quando é responsável por ajudar a priorizar adesivos e mitigações.
O eixo técnico ZAST.AI baseia-se no que a empresa descreve como uma combinação de geração automática de testes de conceito executáveis e sua validação automática sobre o próprio código-alvo. Em outras palavras, em vez de devolver um sinal que diz “poderia haver um problema”, a ferramenta tenta produzir um PoC que demonstre a falha e depois o executa para confirmar se pode realmente explodir. O resultado prometido é um relatório final com vulnerabilidades verificadas, o que reduziria as perdas de tempo associadas a falsos positivos.
Essa abordagem choca com uma queixa histórica no ofício de segurança: muitas soluções de análise estática ou de digitalização geram alertas que depois requerem verificação manual. Instituições e comunidades como OWASP Foram documentadas por anos categorias de erros frequentes (injeção SQL, XSS, deserialização insegura, SSRF, etc.), mas também observaram os limites da automação para detectar falhas semânticas ou lógica de negócio. ZAST.AI garante que sua plataforma pode abordar não só problemas sintácticos, mas também fraquezas de maior nível, como erros de autorização ou lógica de pagamentos, tradicionalmente mais difíceis de automatizar.
Que uma ferramenta entregue PoC executáveis levanta, no entanto, questões legítimas. A geração e execução automática de exploits tem uma dimensão dupla: acelera a remediação quando usada de forma responsável, mas mal gerida pode aumentar riscos se a informação for filtrada ou publicada prematuramente. Por isso é importante que esses testes sejam mantidos através de processos de divulgação responsáveis e coordenados com os mantenedores e com marcos reconhecidos, como os princípios de divulgação responsável promovidos por organizações como Google CVD ou equipamento de resposta a incidentes como CERT.
De acordo com a ZAST.AI, os projectos afectados nas suas conclusões incluem componentes amplamente adotados pela indústria; os mantenedores de algumas dessas livrarias e frameworks — incluindo equipamentos de grandes fornecedores — já instalaram adesivos após receberem os PoC e os relatórios. Essa coordenação entre descubridor e responsável pelo projeto é fundamental para que a comunidade se beneficie sem expor mais do que o necessário.
Do ponto de vista empresarial, a proposta de ZAST.AI se encaixa com uma necessidade real: equipamentos de segurança sobrecarregados que devem priorizar e validar centenas ou milhares de alertas. Se a tecnologia cumprir o prometido, poderá reduzir tempos de correcção, reduzir custos operacionais e melhorar a confiança nos alertas emitidos por ferramentas automáticas. O apoio de investidores como a Hillhouse também sugere que o mercado vê valor em soluções que reduzam o ruído e aumentem a certeza dos resultados.
No entanto, existem desafios técnicos e regulatórios à frente. Detectar e verificar falhas de lógica de negócio automatizadas continua a ser um terreno complexo; o contexto de uma aplicação e as regras comerciais podem ser muito diversas, pelo que a taxa de sucesso nestes casos costuma depender da profundidade da análise e do acesso a cenários realistas de execução. Além disso, a evidência executável deve ser encapsulada em processos que evitem seu uso indevido e que assegurem coordenação ordenada com fornecedores e projetos open source, muitas vezes regidos por políticas e tempos distintos.
A empresa destina os novos fundos para a investigação e desenvolvimento, a expandir funcionalidades e a impulsionar a sua chegada a mercados internacionais. Sua ambição é clara: construir uma plataforma abrangente que aplique técnicas de IA para melhorar a segurança do ciclo de desenvolvimento, com uma abordagem em entregar achados acionáveis e verificáveis a baixo custo para equipamentos de software.
Num ambiente onde a economia da cibersegurança é cada vez mais exigente e as dependências de código aberto são omnipresentes, qualquer avanço que reduza o esforço manual e a certeza dos alertas pode ter impacto real na resiliência de sistemas críticos. No entanto, a comunidade deve vigiar como os benefícios técnicos são equilibrados com a responsabilidade operacional e ética no manejo de testes de exploração automáticas. Para aqueles que querem aprofundar a forma como estes achados são geridos e documentados, é recomendável consultar as bases de dados e marcos de referência públicos como MITRE CVE, o NVD e repositórios de divulgação como VulDB, além das diretrizes de responsabilidade em divulgação mencionadas anteriormente.
Em suma, a notícia de financiamento e a atividade relatada pela ZAST.AI reavivam o debate sobre até onde pode chegar a automação em segurança sem comprometer a própria segurança. Se o balanço entre inovação, coordenação e governança for mantido, ferramentas que demonstrem vulnerabilidades de forma reprodutível têm o potencial de mudar a forma como priorizamos e arrumamos falhas no software moderno.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...