Agentes de IA na Segurança da Informação: 18 Auditorias, Milhões de Logs e o Confronto Real entre IA e Análise Humana

Agentes de IA na Segurança da Informação: 18 Auditorias, Milhões de Logs e o Confronto Real entre IA e Análise Humana

Explore como agentes de Inteligência Artificial estão revolucionando a segurança cibernética, desde a auditoria de firewalls até a análise de logs complexos. Descubra os benefícios, os riscos e o futuro da profissão de segurança com a IA.

MundiX News·09 de julho de 2026·15 min de leitura·👁 1 views

Enquanto o mundo acompanha a Copa do Mundo de futebol, um campeonato paralelo está em andamento na cibersegurança: IA contra IA. De um lado do campo, os agentes de ataque aceleram a reconhecimento, geram exploits e se movem dentro da rede. Do outro, os agentes de defesa leem configurações, analisam logs e auxiliam especialistas a tomar decisões mais rápidas. Na Ideco, passamos os últimos meses testando agentes de IA em tarefas reais de equipes de segurança da informação e compilamos os resultados das primeiras duas dezenas de auditorias. Para gerenciar expectativas, é crucial entender que não estamos vendendo automação mágica 'sem humanos'. O valor surge quando um especialista define o contexto, as regras, os acessos e os critérios de verificação para o agente. O agente acelera o trabalho, mas a segurança é garantida por controles de proteção bem configurados, processos de monitoramento e validação por especialistas.

Este artigo é uma análise prática. Apresentamos casos de uso específicos com o Ideco NGFW Novum, mas tudo o que for descrito pode ser aplicado a qualquer ferramenta de segurança com uma interface de máquina adequada. Não se trata de um produto específico, mas de uma nova camada de automação que está transformando o trabalho do profissional de segurança. Para entender por que os agentes ganharam destaque agora, é útil relembrar uma breve cronologia. Em 2022, surgiram os primeiros chatbots de linguagem em massa, que frequentemente 'alucinavam' – um exemplo notório foi um modelo que inventou 20 livros inexistentes ao ser solicitado a recomendar 30. A conclusão na época foi simples: uma novidade, nada mais. Em 2023-2024, o prompt engineering ganhou força, e com ele veio o RAG (Retrieval-Augmented Generation), uma abordagem onde a resposta do modelo é enriquecida com dados relevantes de fontes externas. A IA começou a entender não apenas a pergunta, mas também o contexto. Em 2025, surgiram as janelas de contexto, o gerenciamento de tokens de sessão e as 'habilidades' (skills), permitindo que a IA executasse parte do trabalho, mas ainda necessitando de um humano para definir o contexto e orientar as ações. Somente em 2026, a partir de fevereiro, os agentes decolaram. A diferença fundamental é o harness: um conjunto de ferramentas ao redor do modelo que recebe uma tarefa, seleciona as ferramentas necessárias disponíveis e executa uma sequência de ações. Esta é a transição de 'responder a uma pergunta' para 'executar uma tarefa'.

A diferença entre um chatbot, um assistente e um agente reside na capacidade de agir. Um chatbot responde dentro de uma conversa. Um assistente pode executar código ou chamar APIs sob certas condições. Um agente faz o que as gerações anteriores não conseguiam: ele mesmo planeja a sequência de passos, seleciona as 'habilidades' adequadas para a tarefa e opera em um 'loop com memória' – revisita os resultados de passos anteriores, reavalia-os e ajusta o plano. É justamente esse loop com memória que transforma um modelo de linguagem em um trabalhador, e não apenas um interlocutor. A estrutura de qualquer agente de IA pode ser convenientemente dividida em cinco partes: Cabeça (LLM que raciocina e planeja, como Claude, GPT, Qwen), Olhos (Janela de contexto – o que o agente 'vê', como logs, configs, documentação), Mãos (Uso de ferramentas – chamadas a APIs REST, bash, acesso a logs), Memória (Armazenamento de conhecimento de longo prazo, como SKILL.md, banco de dados vetorial) e Pernas (Harness – o loop de execução: objetivo → 'ação → avaliação → passo'). A principal conclusão prática é que a diferença entre agentes muitas vezes não está na 'magia do modelo', mas nas ferramentas e 'habilidades' conectadas a ele. O mesmo motor LLM é inútil sem acesso a dados e muito útil quando ele pode acessar logs, chamar APIs e formatar resultados para um especialista em segurança. Um aviso importante sobre higiene: não insira segredos ou chaves de API diretamente nas requisições ao modelo. É mais seguro dar ao agente acesso controlado a um arquivo local ou segredo através do ambiente, limitando explicitamente suas ações. Um modelo razoável sugerirá: 'não envie a chave, diga onde ela está e eu acessarei'. Isso reduz o risco de vazamento e simplifica a auditoria.

A escolha entre um agente universal ou especializado está em debate: vencerão os agentes de propósito geral com 'habilidades' especializadas ou agentes altamente especializados? A tendência aponta para o primeiro cenário, similar ao smartphone que substituiu gravadores, players e câmeras. Dispositivos especializados são mais eficientes em seu nicho, mas uma solução universal vence pela amplitude de uso. Comparando quatro ferramentas populares: duas universais – Hermes Agent e OpenClaw – e dois agentes open source especializados para pentest. O OpenClaw é líder em popularidade, mas sua vasta superfície o tornou mais propenso a vulnerabilidades e 'habilidades' maliciosas. O Hermes foi escolhido como o ótimo para segurança da informação devido ao código mais simples, correções de vulnerabilidade mais rápidas e 'habilidades' integradas para web-pentest, red-teaming e OSINT. Essa é uma escolha específica, não uma verdade universal; se a tarefa principal for pentest, o PentestGPT pode ser mais conveniente. O modelo barato muitas vezes sai mais caro. Parece lógico usar um modelo cinco vezes mais barato e obter uma economia de cinco vezes. Na prática, isso não funciona. Modelos baratos fazem mais iterações, cometem mais erros e fazem perguntas desnecessárias, podendo custar muito mais em tokens do que um modelo forte. Uma abordagem prática é um pipeline multinível: triagem inicial e filtragem de ruído com um modelo barato (como Owl Alpha), e investigação profunda, correlação de logs e análise final com um modelo mais robusto (como Claude Opus). O Hermes pode alternar modelos ou executar sub-agentes, cada um com sua sub-tarefa e janela de contexto. A decisão final sempre cabe ao humano.

Prática 1: Auditoria de IA de Regras de Firewall O primeiro e mais demonstrativo caso de uso é a análise de regras de firewall. O agente lê regras FORWARD/INPUT, DNAT/SNAT, estado de log e fail2ban via API REST somente leitura, compara com o contexto e gera um relatório. As primeiras 18 auditorias de configurações do Ideco NGFW Novum revelaram 0 erros críticos, mas 551 tentativas de ataque em um dos nós, extraídas dos logs. O valor aqui não está em encontrar uma 'brecha' dramática, mas na limpeza regular de dívidas de configuração. Os defeitos mais comuns encontrados pelo agente incluem: Threat-intel desativado, listas de bloqueio de IP não conectadas a regras de drop, logs desativados onde são importantes, regras ANY→ANY sem inspeção, publicações DNAT perigosas (SMTP, RDP, Zabbix-agent sem restrições) e regras sombreadas ou mortas. Exemplos de ataques reais extraídos dos logs incluem um servidor sob constante ataque de força bruta em senhas, ataques direcionados a VPN e RDP, e conexões com centros de comando de malware. O placar final das auditorias foi 0 CRÍTICO, 12 ALTO, 8 MÉDIO, 5 BAIXO. O agente destaca o erro e recomenda bloqueio, mas a proteção é garantida pela ferramenta de segurança configurada corretamente.

Prática 2: Análise de IA de Logs IPS e DNS Security O segundo ciclo envolve a análise de logs do sistema de prevenção de intrusões e DNS Security. A principal dor aqui é o volume: quase 1,8 milhão de registros de segurança em um nó e até 1,3 milhão de eventos em IPS por dia. O agente analisa essa massa em segundos ou minutos. O resultado de um dos nós foi: 20.350 detecções reduzidas a 29 recomendações priorizadas. A triagem em minutos, não em dias. O agente correlaciona fontes (firewall, IPS, DNS) para determinar se um host está realmente infectado ou se é um falso positivo, filtra ruído (desativa detecções de serviços de nuvem legítimos e CDNs), e realiza verificação de reputação via VirusTotal API. Exemplos notáveis incluem um domínio islandês com subdomínios aleatórios e DNS tunneling ativo, hosts infectados em segmentos contábeis com DNS tunneling e shellcode, e Shadow IT (AnyDesk, TeamViewer não declarados). O canal DNS é valioso para bloquear ameaças antes da conexão, cobrindo uma zona cega se o tráfego DNS não for monitorado separadamente. A maioria dos malwares usa DNS como função chave. Ao investigar um host específico, o agente pode correlacionar dados de várias fontes, realizar OSINT e emitir um veredito. Um exemplo de análise no Claude Opus demonstrou um falso positivo rapidamente corrigido e um detect real de Trojan/Win32.CeeInject com plano de ação.

Prática 3: Red-Team e Escaneamento de Rede com IA O Hermes possui uma 'habilidade' de IA para pentest de aplicações web. Ele difere de um scanner comum por passar por várias fases e testar hipóteses, em vez de gerar uma montanha de falsos positivos: fase zero (confirmação de recurso), reconhecimento, análise tática de vulnerabilidades, tentativa de exploração ('No Exploit No Report') e relatório com priorização de descobertas confirmadas. Outro cenário é o escaneamento de rede local. Um agente em um Mac Mini com acesso a segmentos pode escanear a rede diariamente e encontrar mudanças: impressoras antigas, IPMI em segmentos de usuário, painéis de controle esquecidos, protocolos desatualizados. O objetivo não é reinventar o nmap, mas transformar o escaneamento rotineiro em um processo regular com interpretação. Um exemplo de descobertas de ALTA prioridade inclui impressoras com SSLv3/RC4 (vulnerabilidade POODLE), BMC/IPMI em segmentos de usuário, NFS com exportação aberta e SMB signing habilitado, mas não exigido (abrindo NTLM relay). A restrição permanece: os direitos do agente são limitados, ações ativas são logadas e cada descoberta é validada manualmente.

IA para CISO e Regulamentação A IA é particularmente útil onde há muito texto, requisitos e informações pouco estruturadas. Para regulamentação, um agente pode ser alimentado com requisitos da FSTEC ou leis específicas e compará-los com as capacidades de um NGFW, identificando quais pontos são cobertos por controles técnicos e onde processos são necessários, resultando em uma matriz de cobertura e um resumo gerencial. Para preparação de reuniões, a IA pode coletar rapidamente contexto de CVEs, avaliar criticidade e preparar resumos ou apresentações. Destaques diários de ameaças e notícias, e um SOC agentic (onde ferramentas de SOC baseadas em agentes aceleram drasticamente a detecção e resposta, reduzindo MTTD e MTTR) são outros benefícios. O principal risco é implementar um agente como uma entidade descontrolada com acesso a dados sensíveis. Portanto, deve-se começar com uma tarefa restrita, direitos claros, log, revisão manual e uma política explícita para transferência de dados. Nesse modelo, a IA se torna uma forma de devolver tempo ao profissional de segurança para decisões que realmente exigem intervenção humana. Comece pequeno: use um chatbot para ajudar a configurar um agente em uma máquina isolada, conecte acesso somente leitura a uma fonte e dê uma tarefa específica. O primeiro passo é o mais difícil. Em seguida, o agente ajuda a configurar o próximo.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.