Uma hacker que acaba de conquistar prêmios importantes em uma prestigiosa competição internacional diz que sua trajetória em disputas do tipo pode estar chegando ao fim por causa da ascensão de ferramentas de AI, como o Claude Mythos.
Valentina Palmiotti, mais conhecida como Chompie, foi a competidora individual de maior destaque no Pwn2Own, evento anual de hacking realizado em Berlim.
Em entrevista à BBC News, ela afirmou que, por enquanto, as ferramentas de AI estavam ajudando a conquistar bug bounties, as recompensas em dinheiro pagas a hackers que identificam vulnerabilidades em sistemas online antes que elas sejam exploradas por cibercriminosos.
Ainda assim, ela disse acreditar que sistemas como o Mythos são tão poderosos que até campeões como ela em breve terão dificuldade para competir.
A AI sacudiu o setor de cibersegurança, com a atenção concentrada especialmente no Mythos.
A Anthropic, criadora do modelo, afirma que ele já foi capaz de encontrar 1.600 vulnerabilidades em centenas de programas de software.
Segundo a empresa, isso torna o Mythos potencialmente tão perigoso que sua liberação só pode ocorrer para um grupo seleto de governos e instituições de cibersegurança.
O Pwn2Own é organizado pela ZeroDay Initiative e convida hackers éticos do mundo todo a encontrar vulnerabilidades em produtos específicos.
Neste ano, quase US$ 1,3 milhão, cerca de R$ 7,0 milhões, foi distribuído a hackers que, juntos, descobriram 47 métodos inéditos de invasão em diferentes programas, sites e softwares.
Todas as falhas foram reportadas às empresas envolvidas, que agora trabalham em correções antes que criminosos encontrem as mesmas brechas.
No primeiro dia da competição, Chompie demonstrou com sucesso como invadir um sistema ligado à Nvidia e ganhou US$ 20.000.
Depois disso, disse que precisou entrar no que chamou de “modo hacker zumbi” para se preparar para o dia seguinte.
“Assim que ganhei o primeiro prêmio, voltei correndo para o meu quarto de hotel para continuar trabalhando no outro.
Trabalhei das 18h às 6h e não dormi”, contou.
O esforço valeu a pena.
Imagens do evento mostram Chompie sorrindo, mas visivelmente exausta no palco, após conseguir invadir com sucesso um sistema baseado em Linux e levar US$ 50.000.
Ela descreveu o “modo hacker zumbi” como horas de pesquisa e testes, sustentadas por energéticos e adrenalina, muitas vezes usando moletom preto com capuz.
“Não é saudável”, disse, rindo, mas ressaltou que isso era necessário.
Neste ano, muitos campeões como Chompie têm usado AI para ajudar justamente enquanto estão nesse estado de exaustão.
Segundo ela, ferramentas como o Claude Code aumentaram sua produtividade nas competições e também no trabalho diário como pesquisadora de segurança na IBM X-Force.
Na visão de Chompie, hackers como ela ainda estão em um “ponto ideal”, no qual a AI funciona como apoio.
Mas ela prevê que esse cenário vai mudar em breve com novos modelos como o Claude Mythos e o GPT 5.5 Cyber.
“Participei do Pwn2Own este ano porque achei que poderia ser minha última chance”, explicou.
“Isso não quer dizer que eu ache que não haverá espaço para pesquisa de segurança ou hacking ético, mas penso que muita coisa mais fácil de explorar vai começar a desaparecer.”
Chompie, que se tornou uma das primeiras mulheres a competir no Pwn2Own 2024, disse que em breve não serão necessários hackers bons ou muito bons, e que apenas os melhores conseguirão encontrar novos bugs e ganhar prêmios.
Nesse grupo, ela incluiu nomes como Orange Tsai, outro grande vencedor em Berlim, que já acumulou diversos prêmios em competições de hacking.
O hacker de Taiwan, que prefere não usar seu nome verdadeiro, liderou sua equipe na conquista de US$ 375.000, cerca de R$ 2,0 milhões, ao encontrar rotas de ataque extremamente complexas.
Ele foi mais otimista em relação ao futuro dos caçadores de bugs humanos.
“Para mim, a AI parece mais uma assistente incrível, que ajuda a acelerar meu fluxo de pesquisa”, afirmou.
“Durante a pesquisa, geralmente surgem muitas ideias interessantes, mas infelizmente eu ainda preciso dormir, então não consigo testar tudo uma por uma.
A AI finalmente pode ajudar a aliviar esse trabalho.”
Orange Tsai concorda que a AI já está elevando a régua, mas espera que a criatividade e a intuição humanas continuem capazes de encontrar vulnerabilidades que as ferramentas de AI deixam passar.
E os criminosos?
Se ficar mais difícil para os bons hackers encontrarem formas de entrar em sistemas online, o que isso significa para os hackers criminosos?
Crescem as pesquisas indicando que criminosos estão usando AI para acelerar ataques e, em alguns casos, criar novas formas de acesso a sistemas, com o objetivo de realizar data breach e ataques de ransomware.
No entanto, a grande maioria dos ciberataques ainda usa métodos antigos e mais simples, sem necessidade de descobrir novos bugs.
Entre eles estão o phishing e a engenharia social, quando o acesso é obtido por meio de e-mails falsos enviados a funcionários, que clicam em um link malicioso e acabam dando aos hackers entrada nos sistemas da empresa.
Chompie acredita que, no fim das contas, as ferramentas de AI tornarão a vida mais difícil para todos os hackers, o que é positivo para a segurança da internet.
“Acho que a maré está virando contra os hackers ofensivos.
A defesa tem muito a ganhar com essa capacidade”, afirmou.
Mas, segundo ela, os benefícios da AI para quem defende sistemas só poderão ser plenamente aproveitados se esses produtos forem lançados de forma responsável.
Na sua visão, os bons hackers precisam ter acesso primeiro às ferramentas mais poderosas para encontrar e corrigir falhas antes que os criminosos o façam.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...