Login Inscreva-se
Newsletter

Pacific News #285: O Tempo Não Para

Pacific News #285: O Tempo Não Para

Assunto do momento: Não adianta correr, os modelos de IA perigosos vão surgir

O que aconteceu? Na última semana, a Anthropic tirou o Claude Fable 5 e o Mythos 5 do ar para estrangeiros, seguindo uma diretiva do governo dos Estados Unidos. O motivo? Estes modelos são considerados “perigosos”.

Por que isso importa? O Mythos e o Fable são modelos de IA que são capazes de identificar vulnerabilidades e ajudar com sua correção, mas também de explorar sistemas em um tempo muito rápido, se tornando uma verdadeira faca de dois gumes.

O X da questão: O governo americano entende que os guard-rails presentes nos modelos da Anthropic podem ser derrubados, gerando um verdadeiro risco nacional. 

O que dizem os especialistas: A medida americana estaria, tão somente, atrasando o inevitável. Estamos diante do início do problema, afinal, outros modelos de linguagem terão capacidade igual ou similar ao Mythos 5 em um futuro próximo. 

Evidência: Segundo o tech lead de Red Team da Anthropic, a sociedade precisava se preparar para um futuro onde capacidades como a do Mythos estariam disponíveis amplamente em “6, 12 ou 24 meses”. Além disso, a OpenAI fez um lançamento privado de um modelo focado em segurança ofensiva em meados de abril.

Okta e Google Cloud vinculam identidade a agentes de IA e navegadores

O que aconteceu? Okta e Google Cloud estão ampliando suas integrações de identidade com o lançamento do Auth0 para Agentes de IA e novas integrações com o Chrome Enterprise. O objetivo é reforçar a segurança no acesso a ambientes de trabalho baseados em IA e em fluxos de trabalho executados no navegador.

Por que isso importa?  O Auth0 para Agentes de IA inclui recursos como: (i) autenticação de usuários, garantindo que apenas pessoas verificadas possam acionar um agente; (ii) cofre de tokens, que armazena tokens OAuth com segurança para que agentes atuem em nome dos usuários; (iii) fluxos de trabalho com intervenção humana, que encaminham ações sensíveis para aprovação de um funcionário; (iv) autorização granular, por meio do Fine-Grained Authorization (FGA), para garantir que os agentes executem apenas ações permitidas ao usuário; e (v) autenticação MCP, que adiciona controle de acesso a servidores MCP. As integrações com o Chrome Enterprise também ampliam os controles de segurança. O Chrome Enterprise Universal Enrollment permite que equipes de TI apliquem políticas corporativas por meio de perfis gerenciados do Chrome em qualquer dispositivo. Já o Device Trust combina o Okta Device Assurance com o Chrome Device Trust Connector para avaliar, em tempo real, o status do navegador e do dispositivo. Além disso, o Chrome agora oferece suporte ao Single Sign-On (SSO) extensível da Apple no macOS, com o Okta como provedor de identidade.

Saiba mais: Segundo Ely Kahn, diretor de produtos da Okta, “as organizações não deveriam ter que escolher entre as ferramentas de IA e produtividade que seus funcionários desejam usar e a segurança de que a empresa precisa”.

Papo Rápido

@Ataques

Pesquisadores identificaram um vazamento massivo de credenciais de dispositivos FortiGate, atribuído a um grupo russo que processou bilhões de tentativas de força bruta e chegou a comprometer integralmente quatro organizações. O vazamento atinge 21.632 domínios únicos em 194 países. A Fortinet, no entanto, nega que se trate de um incidente recente, afirmando que os dados são uma reciclagem de violações anteriores combinada com ataques de força bruta. (TheRegister)

Um pesquisador de segurança descobriu um conjunto de dados vazados da Dialog (rede privada, exclusiva para convidados, composta por membros da elite empresarial, acadêmica e política, fundada por Peter Thiel), incluindo 113 nomes listados no site privado da organização, bem como “perfis de participantes” para um evento futuro em Dublin. (San)

@Patches

Apple corrige falha (CVE-2025-20701) que permitia espionar conversas via Beats e fones com chip Airoha. A correção chega pela atualização de firmware 1B211, instalada automaticamente ao parear o dispositivo com um iPhone, iPad ou Mac. (BleepingComputer)

A Microsoft divulgou que está trabalhando para fornecer uma atualização de segurança que corrija a CVE-2026-50656 (pontuação CVSS de 7,8). O problema foi divulgado na semana passada pelo pesquisador de segurança Nightmare Eclipse e explora uma condição de corrida no Microsoft Defender elevação de privilégios no sistema. (SecurityWeek)

@Mundo

Segundo a Interpol, crimes cibernéticos já são mais de 30% de todas as ofensas na região Ásia-Pacífico. Desses, o maior volume é de golpes online e phishing impulsionados por IA e por redes criminosas organizadas. A indústria de golpes na região movimentaria cerca de US$40 bilhões por ano. (TheRegister)

Uma coalizão da indústria de cibersegurança chamada Athena (cujos membros fundadores incluem BNY, Cisco, Cloudflare, Docker, JPMorgan Chase, Kyndryl, LTIMindtree e PwC) reúne vulnerabilidades em projetos de código aberto descobertas por programas de IA, como o Project Glasswing, da Anthropic, e o Daybreak, da OpenAI. A iniciativa também aplica patches privados a essas falhas e reconstrói os projetos afetados como versões reforçadas nas Bibliotecas Chainguard, antes da divulgação coordenada aos desenvolvedores responsáveis. (InfoSecurityMagazine)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Veja mais