IA em pentest: quando a máquina acha tudo em segundos e o time leva semanas para corrigir
O avanço da inteligência artificial nos testes de intrusão criou uma situação curiosa – e incômoda – para as equipes de segurança: nunca foi tão rápido encontrar vulnerabilidades, mas o processo de validar, priorizar e corrigir cada falha continua preso ao tempo humano. O resultado é um paradoxo: backlog crescente, pressão sobre times técnicos e uma sensação permanente de “estar sempre devendo”.
Segundo especialistas como Bruno Telles, fundador da Bug Hunt, e Kaique Bonato, responsável por operações e serviços da Vantico, a IA mudou definitivamente a forma como se faz pentest, mas não resolveu – e talvez até tenha ampliado – os gargalos estruturais das empresas.
Telles resume bem esse cenário ao dizer que a IA “democratizou a descoberta técnica, mas não democratizou a experiência”. Ou seja: hoje qualquer profissional, mesmo com pouca vivência prática, consegue acionar uma IA avançada, estruturar testes, gerar payloads, revisar código e automatizar partes do processo de ataque. Porém, entender o que realmente importa, o que é explorável no mundo real e o que é apenas “ruído” ainda exige repertório, vivência e leitura de contexto de negócio.
As IAs favoritas dos pentesters – e seus limites
Entre os modelos mais citados para apoiar pentests, um dos mais comentados é o Claude, da Anthropic, frequentemente descrito por especialistas como “superpoderoso” pela capacidade de analisar grandes volumes de informação, ajudar na criação de scripts, revisar relatórios técnicos e sugerir abordagens de teste.
Ao mesmo tempo, esses modelos trazem restrições deliberadas quando o assunto é cibersegurança ofensiva: não executam ataques, evitam orientar claramente atividades ilícitas e, em geral, se recusam a “hackear” diretamente um alvo. Isso força o pentester a atuar como maestro: é a pessoa que define estratégia, direciona perguntas, interpreta respostas e transforma a saída da IA em ações concretas dentro de um escopo autorizado.
Como enfatiza Kaique Bonato, a IA “não abre um prompt, não recebe uma URL e sai invadindo sozinha”. Ela é uma assistente poderosa, mas ainda dependente de alguém experiente para guiar o processo, validar hipóteses e filtrar o que é tecnicamente plausível. Sem esse filtro, o número de achados cresce – mas não necessariamente a qualidade dos resultados.
Explosão de falsos positivos e relatórios descartados
Uma consequência direta da adoção de IA em pentest é o crescimento exponencial de falsos positivos. A máquina aponta potenciais vulnerabilidades em todo canto, mas muitas dessas “falhas” não se confirmam quando testadas em profundidade ou analisadas no contexto real do sistema.
Nos programas de bug bounty operados pela Bug Hunt, Telles relata um fenômeno claro: o volume de relatórios recebidos aumentou significativamente após a popularização da IA, mas a quantidade de relatórios aprovados não acompanhou o mesmo ritmo. Em outras palavras: há mais gente reportando problemas, porém a proporção de achados realmente válidos não cresceu na mesma proporção.
Isso acontece porque a IA é excelente em varrer grandes quantidades de dados, documentar cenários, sugerir possíveis vetores de ataque e até simular exploits. Mas a decisão final – “isso é, de fato, uma vulnerabilidade explorável?” – depende de teste prático, conhecimento da arquitetura e compreensão do próprio produto. Em muitos casos, algo que parece falha é, na verdade, um comportamento intencional, uma feature. Sem esse olhar crítico, a organização se afoga em listas intermináveis de itens a investigar.
Mais achados, mesma capacidade de correção
Nos pentests tradicionais, sem apoio de IA, já era comum que um único ciclo de testes gerasse dezenas de achados. Com a IA acelerando descobertas, esse número pode se tornar praticamente incalculável, principalmente em ambientes complexos e distribuídos.
Bonato destaca um ponto importante: a correção nunca é instantânea. Mesmo quando um reporte é feito no dia, raramente no dia seguinte já há correção em produção. Geralmente é preciso alguns dias – ou semanas – para entender impacto, envolver as equipes de desenvolvimento, ajustar prioridades e verificar se a mudança rompe alguma regra de negócio ou funcionalidade crítica.
Assim, as vulnerabilidades consideradas não críticas vão sendo empurradas para o fim da fila. Há pouco tempo e atenção para tudo, e o foco acaba ficando no que é claramente urgente: falhas com alto potencial de exploração ou forte impacto em confidencialidade, integridade ou disponibilidade. O backlog de “médias” e “baixas” cresce silenciosamente, e é exatamente aí que o volume extra gerado por IA pode virar problema: mais achados sem aumento proporcional da capacidade de tratá-los.
Corrigir pode ser mais complexo do que encontrar
Telles chama atenção para um ponto frequentemente subestimado: corrigir vulnerabilidades é, em muitos casos, uma ciência tão complexa – ou até mais – do que identificá-las. Em ambientes com sistemas legados, componentes sem manutenção ou plataformas cujos desenvolvedores originais já saíram da empresa, a complexidade aumenta ainda mais.
A pergunta “como vou atualizar algo que eu não conheço?” surge o tempo todo. Existem aplicações sem documentação clara, integrações frágeis, módulos escritos em linguagens pouco utilizadas atualmente e dependências que ninguém quer tocar por medo de “quebrar” o que ainda está de pé. Nessas situações, a IA pode até sugerir correções ou padrões de código mais seguros, mas alguém precisa entender o impacto em todo o ecossistema e assumir o risco da mudança.
É nesse ponto que fica evidente o gargalo estrutural: a IA escala a descoberta, mas não escala automaticamente o conhecimento profundo da base instalada, da cultura de desenvolvimento e dos processos internos de cada organização.
IA como ferramenta, não substituta do pentester
Tanto Telles quanto Bonato são categóricos em reforçar que a IA deve ser encarada como parte do arsenal do pentester, não como substituta da experiência humana. A crença de que “agora vou conseguir invadir qualquer coisa só usando IA” é vista por eles como um mito perigoso.
A tecnologia é excelente para acelerar tarefas repetitivas, gerar código de apoio, revisar estruturas, sugerir payloads, organizar relatórios e até simular cenários de ataque. Mas quem define o que testar, quais caminhos seguir, como interpretar resultados e quais riscos realmente importam é o profissional de segurança. Sem esse julgamento crítico, a IA vira uma fábrica de ruído.
Pentesters experientes tendem a extrair muito mais valor da IA porque usam suas vivências para guiar as perguntas, calibrar resultados e identificar rapidamente quando um achado não faz sentido técnico ou não se aplica ao contexto real. Já quem está começando pode cair na armadilha de confiar cegamente em tudo que a IA devolve, aumentando o risco de sobrecarregar times internos com relatórios inconsistentes.
A decisão de corrigir é de negócio, não só técnica
Um ponto central levantado por Bonato é que a decisão de corrigir – ou não – uma vulnerabilidade é antes de tudo uma decisão de negócio. Segurança não é um tema isolado da empresa; é um componente estratégico que impacta imagem, continuidade operacional, compliance e confiança do cliente.
Muitas vezes, corrigir uma falha significa realocar recursos, alterar roadmap de produto, mexer em integrações sensíveis ou até assumir que será necessário conviver com um risco residual por um tempo, porque não há viabilidade técnica ou orçamentária para uma solução imediata. A IA ajuda a tornar mais visível o que está errado, mas não resolve o dilema clássico de priorização.
Por isso, segurança precisa ser tratada como pauta corporativa, envolvendo diretoria, áreas de negócio, jurídico, desenvolvimento e operações. Conscientização, treinamento contínuo e processos claros de gestão de vulnerabilidades são tão ou mais importantes do que qualquer modelo de IA utilizado no pentest.
Como as empresas podem se preparar para o “tsunami” de achados da IA
Para que a IA em pentest traga ganhos reais em segurança – e não apenas em volume de alertas – é fundamental repensar a forma como as organizações lidam com vulnerabilidades. Alguns movimentos práticos ajudam a equilibrar descoberta rápida e correção lenta:
1. Definir critérios claros de priorização
Classificar vulnerabilidades apenas por severidade técnica não basta. É preciso considerar impacto em processos críticos, exposição real (se é acessível externamente, por exemplo), requisitos regulatórios e riscos de imagem.
2. Integrar IA também na fase de correção
A mesma IA usada para encontrar falhas pode apoiar na revisão de código de correção, sugerir padrões seguros, gerar testes automatizados e documentar mudanças, reduzindo o tempo entre descoberta e fix.
3. Fortalecer equipes de Application Security
Profissionais que entendem tanto de desenvolvimento quanto de segurança são essenciais para traduzir achados em ações concretas. Sem esse elo, o backlog tende a crescer indefinidamente.
4. Automatizar o que for repetitivo
Processos de triagem inicial, correções padronizáveis e validação de patches podem ser parcialmente automatizados, liberando especialistas para os casos mais complexos.
5. Adotar segurança desde o design (shift-left)
Quanto mais cedo as práticas de segurança entrarem no ciclo de desenvolvimento, menor será a quantidade de vulnerabilidades descobertas tardiamente em pentests. A IA pode ser usada já na fase de concepção e codificação para reduzir o erro na origem.
O papel da IA na formação de novos profissionais de pentest
Apesar dos desafios, a IA também abre uma oportunidade importante: acelerar o aprendizado de quem está entrando agora na área de segurança ofensiva. Modelos avançados podem explicar conceitos, sugerir laboratórios práticos, ajudar a interpretar erros de ferramentas, revisar scripts e dar referências de boas práticas.
Se bem orientada, a IA torna-se um “mentor” complementar, encurtando parte da curva de aprendizado. Porém, há um risco: pular etapas e tentar executar ataques ou relatórios complexos sem entender os fundamentos. Organizações que investem em formação interna precisam equilibrar o uso de IA com uma base sólida de redes, sistemas operacionais, programação segura e metodologias de teste.
IA, compliance e evidências em pentest
Outra área em que a IA vem ganhando espaço é a documentação de evidências para auditorias, certificações e exigências regulatórias. A partir dos dados coletados em pentests, a IA pode ajudar a estruturar relatórios mais claros, padronizar descrições de vulnerabilidades, sugerir planos de ação e mapear controles mitigatórios.
Isso facilita a comunicação entre times técnicos e áreas de governança ou auditoria, que muitas vezes têm dificuldade em traduzir achados técnicos em implicações de risco corporativo. Com relatórios mais objetivos e bem redigidos, aumenta a chance de que as recomendações de segurança sejam levadas a sério e integradas aos planos estratégicos da empresa.
Caminho do meio: realismo e maturidade
No fim das contas, a discussão sobre IA em pentest não é sobre substituir pessoas, mas sobre redistribuir esforços. A descoberta de vulnerabilidades tende a se tornar cada vez mais rápida, profunda e acessível. O verdadeiro diferencial competitivo estará em como cada organização responde a esse novo cenário:
– estruturas mais maduras conseguirão transformar o “tsunami” de achados em melhoria contínua;
– empresas com legados frágeis, pouca disciplina de desenvolvimento seguro e decisões de negócio desalinhadas à segurança verão seus backlogs explodirem.
A IA já faz parte da rotina dos pentesters e dificilmente sairá de cena. O desafio é usar essa capacidade de descoberta acelerada para impulsionar também a maturidade de correção, e não apenas aumentar a lista de problemas conhecidos e não resolvidos.