A busca incessante por sistemas mais seguros acaba de ganhar um novo e complexo capítulo. Pesquisadores de segurança cibernética anunciaram a descoberta de uma nova maneira de contornar os robustos sistemas de proteção do macOS, o sistema operacional da Apple. A revelação é particularmente notável porque a técnica foi identificada durante testes realizados em abril com uma versão inicial da inteligência artificial (IA) Mythos, desenvolvida pela Anthropic.
A descoberta, feita por especialistas da Calif, uma empresa de pesquisa em segurança sediada em Palo Alto, na Califórnia (EUA), conecta duas falhas distintas do macOS. Juntas, essas brechas, combinadas com um conjunto de técnicas específicas, são capazes de corromper a memória do computador e obter acesso a áreas do dispositivo que deveriam permanecer inacessíveis. O mecanismo é classificado como um exploit de escalonamento de privilégios, um tipo de ataque que, quando combinado com outras vulnerabilidades, pode permitir que hackers assumam o controle completo de uma máquina.
A inteligência artificial e a descoberta de vulnerabilidades no macOS
O cenário é desafiador para a Apple, que tem investido intensamente para tornar o macOS um dos sistemas operacionais mais difíceis de serem invadidos. A capacidade de uma IA como o Claude Mythos de auxiliar na identificação de tais vulnerabilidades levanta questões importantes sobre o futuro da cibersegurança e a corrida armamentista digital entre defensores e atacantes.
Michał Zalewski, um renomado pesquisador de segurança com experiência no Google, revisou o estudo da Calif e destacou a relevância da técnica. Segundo ele, a descoberta é significativa justamente pelo alto nível de proteção que a Apple implementou em seus sistemas. Esse tipo de vulnerabilidade em um ambiente tão fortificado sublinha a sofisticação das novas ferramentas de análise, como as IAs avançadas.
A Apple, por sua vez, informou que está analisando o relatório detalhado produzido pela Calif para validar as conclusões apresentadas. A companhia reforçou seu compromisso com a segurança, destacando que também utiliza modelos avançados de IA para testar e corrigir vulnerabilidades em seus produtos. “Segurança é nossa principal prioridade, e levamos muito a sério relatos de potenciais vulnerabilidades”, declarou uma porta-voz da empresa, ressaltando a seriedade com que a gigante da tecnologia encara esses desafios.
A resposta da Apple e os desafios da cibersegurança moderna
Em setembro do ano passado, a Apple havia anunciado a tecnologia Memory Integrity Enforcement (MIE), resultado de um esforço de design e engenharia de cinco anos. O sistema foi apresentado como uma combinação da expertise da empresa em hardware e sistemas operacionais, projetado para fortalecer a integridade da memória e dificultar ataques. No entanto, a Calif demonstrou que, utilizando o Claude — sistema de IA da Anthropic —, foi possível desenvolver o código necessário para explorar as duas falhas do macOS em apenas cinco dias.
Apesar da impressionante velocidade, os pesquisadores da Calif ressaltam que o ataque não poderia ter sido realizado apenas pela IA. Thai Duong, diretor-executivo da Calif, afirmou que o processo ainda dependeu fortemente da experiência humana dos especialistas em segurança da empresa. Ele explicou que o Mythos demonstra grande capacidade para reproduzir ataques já documentados, mas ainda não apresentou habilidade consistente para criar técnicas totalmente inéditas. “Ainda não vimos casos em que ele cria novas técnicas de ataque”, afirmou Duong ao The Wall Street Journal. “Isso é algo novo.”
O entusiasmo da Calif com a descoberta foi tanto que os pesquisadores viajaram pessoalmente de Palo Alto até a sede da Apple, em Cupertino, para apresentar um relatório de 55 páginas detalhando as falhas exploradas. A empresa pretende divulgar os detalhes técnicos do ataque somente após a Apple corrigir os problemas identificados, com a expectativa de que as vulnerabilidades sejam solucionadas rapidamente.
O “Bugmageddon” e a evolução das IAs na detecção de falhas
Especialistas em cibersegurança vêm alertando que os modelos mais recentes de IA, desenvolvidos por empresas como Anthropic e OpenAI, passaram a demonstrar uma capacidade significativamente maior de identificar falhas de software. Esse avanço alimenta temores de um cenário apelidado de “Bugmageddon”, caracterizado por uma explosão sem precedentes na descoberta de vulnerabilidades de segurança.
A preocupação envolve tanto a pressão sobre as equipes técnicas responsáveis por corrigir falhas quanto os riscos cibernéticos decorrentes da identificação acelerada de brechas em sistemas amplamente utilizados. A Anthropic, por exemplo, vem ampliando gradualmente o acesso ao Mythos, que inicialmente era restrito a um grupo seleto de empresas e organizações. No início deste ano, uma IA da companhia encontrou mais de 100 vulnerabilidades classificadas como graves no navegador da Mozilla, o Firefox, em apenas duas semanas. Esse volume corresponde aproximadamente ao número de falhas que normalmente são descobertas pelo restante da comunidade global de segurança em um período de dois meses.
O fenômeno também está impactando a estratégia do governo dos Estados Unidos para o setor. As preocupações relacionadas ao avanço dessas ferramentas de IA levaram a Casa Branca a reavaliar sua abordagem mais flexível em relação ao desenvolvimento de IA, considerando agora a possibilidade de emitir uma ordem executiva que concederia supervisão governamental sobre os modelos de IA mais avançados. Embora Zalewski avalie que parte do entusiasmo em torno do Mythos possa ser exagerada, ele reconhece que as ferramentas mais recentes já permitem realizar “pesquisas significativas sobre vulnerabilidades e auditoria de código”, marcando uma nova era na segurança digital.
Acompanhe o Daniel Nunes para se manter informado sobre as últimas novidades em tecnologia, segurança cibernética e os impactos da inteligência artificial em nosso cotidiano. Nosso compromisso é trazer informações relevantes, atualizadas e contextualizadas para você.