Ciberataques: quando a IA supera (com maestria) os hackers humanos

E se as inteligências artificiais já fossem capazes de competir com os melhores hackers? Competições recentes estão causando alvoroço e revelando desempenhos impressionantes.

Consegue imaginar uma IA capaz de burlar os sistemas de segurança mais complexos, infiltrando-se em redes como um fantasma digital? Esse cenário, digno de um thriller tecnológico, pode ser menos futurista do que se pensa. Para tirar a dúvida, pesquisadores tiveram uma ideia: colocar as IAs no ringue, frente a frente com humanos, em desafios de hacking em escala real. Os resultados, publicados em um estudo da Palisade Research, dão arrepios... e muito o que pensar.

IAs no banco dos réus: bem-vindos aos "Capture The Flag"!

Para testar os músculos digitais das IAs, nada melhor que um "Capture The Flag" (CTF). O que é isso? Imagine uma espécie de caça ao tesouro digital gigante onde os participantes, humanos ou IAs, precisam encontrar falhas de segurança para capturar uma "bandeira", uma sequência única de caracteres escondida no coração dos sistemas. É tipo Forte dos Desafios, mas com linhas de código no lugar de provas físicas, e onde o Velho Fouras seria um expert em criptografia.

Duas dessas competições, organizadas pela plataforma Hack The Box em março de 2025, chamaram atenção. Primeiro, "IA vs. Humanos", onde 400 equipes, maioria humanas, competiram. Depois, "Apocalipse Cibernético", um megaevento com mais de 8000 equipes e quase 18 mil participantes humanos. E em ambos os casos, as IAs arrasaram.

IA local: Google lança discretamente um aplicativo que coloca cérebros digitais no seu smartphone

A arte da "elicitação": como fazer uma IA cuspir o ouro

Se as IAs brilharam, não foi por acaso. Pesquisadores falam em "elicitação de IA", um termo meio esquisito para designar a arte de extrair o máximo desempenho de uma inteligência artificial em determinada tarefa. É tipo um técnico esportivo que empurra seu atleta para superar limites. Por que esse esforço? Porque avaliações anteriores muitas vezes "subestimaram dramaticamente" as capacidades reais das IAs.

Diante disso, os autores do estudo da Palisade Research propõem uma nova abordagem: a elicitação colaborativa ("crowdsourcing"). A ideia é simples: em vez de deixar a avaliação com uma única equipe, por que não várias competindo para extrair o melhor das IAs? Uma espécie de brainstorming competitivo em larga escala, com recompensas para estimular a criatividade.

IA, a futura rainha dos hackers? Resultados que falam por si

E os resultados? Segurem-se. Na competição "IA vs. Humanos", as equipes de IA ficaram no top 5% dos participantes, com quatro agentes de IA em sete resolvendo 19 dos 20 desafios propostos. Tudo por um total de 7500 dólares em prêmios. O agente IA mais eficiente, chamado CAI, chegou ao 20º lugar no ranking geral. Nada mal para programas!

A competição "Apocalipse Cibernético" confirmou a tendência: o melhor agente IA ficou no top 10% de todos os competidores, superando 90% das equipes humanas. Mais impressionante ainda, os pesquisadores aplicaram uma metodologia (a METR) para estimar o nível de esforço humano que as IAs atuais podem igualar. Conclusão: IAs resolvem com segurança desafios de cibersegurança que exigiriam cerca de uma hora de trabalho de um participante humano mediano em CTF.

Duolingo aposta na IA: a coruja está demitindo em massa!

Um paradoxo curioso: humanos ainda estão no jogo

Devemos então decretar o fim dos hackers humanos? Calma lá. O estudo revela um paradoxo interessante. Em "IA vs. Humanos", as equipes humanas mais rápidas conseguiram competir com as IAs em velocidade. O segredo? Muita experiência em CTF e familiaridade com técnicas clássicas para resolver esse tipo de problema, como contou um participante, "membro de várias equipes de nível internacional com anos de experiência".

Vale lembrar que os desafios de "IA vs. Humanos" foram feitos sob medida para IAs: provas de criptografia e "engenharia reversa" (a arte de desmontar um programa para entender seu funcionamento) realizáveis localmente, sem interações complexas com máquinas externas. O que não era o caso em cerca de dois terços dos desafios do "Apocalipse Cibernético", onde algumas IAs, menos otimizadas para essas interações, se saíram pior.

Como usar o ChatGPT para encontrar sua próxima série na Netflix?

Arena aberta: melhor forma de revelar o talento (oculto) das IAs?

No fim, o que tirar desses embates digitais? Principalmente que avaliar capacidades ofensivas de IAs em cibersegurança é complexo, mas crucial. Confiar só em testes de laboratório, feitos por meia dúzia de experts, não basta mais.

A abordagem de crowdsourcing, com competições abertas e prêmios, parece uma alternativa promissora e econômica para acompanhar em tempo real a evolução fulminante dessas capacidades. Como concluem os pesquisadores, "o desempenho das IAs via crowdsourcing superou largamente nossas expectativas iniciais". Esses eventos também coletam dados valiosos sobre desempenho humano em larga escala.

Um apelo é feito: que organizadores de CTF multipliquem as "pistas para IAs" e que financiamentos apoiem esse tipo de avaliação aberta. Porque para antecipar riscos e guiar políticas de regulação, é melhor saber exatamente o que nos espera.

E quem sabe, na próxima vez que você xingar um bug no computador, vai se perguntar se não é uma IA travessa pregando peças... só para treinar!