Depthfirst Afirma Caça a Bugs de IA Mais Barata Que o Mythos da Anthropic — Por Que a Infraestrutura de Cripto Deveria Prestar Atenção

12 de mai. de 2026

Em 12 de maio de 2026, a startup de segurança em IA Depthfirst declarou que seu modelo autônomo de descoberta de vulnerabilidades identificou múltiplas vulnerabilidades de Internet de alta gravidade que o programa Mythos da Anthropic não detectou — e o fez a um custo aproximadamente dez vezes menor. O CEO da Depthfirst, Qasim Mithani, descreveu a abordagem como otimização especializada para tarefas: construir uma arquitetura de modelo rigidamente sintonizada para a descoberta de vulnerabilidades, de modo que “US$ 1.000 em computação possam fazer o que US$ 10.000 comprariam de outra forma”.

Para a indústria de blockchain e cripto, a manchete não é “quem encontrou mais bugs”. A verdadeira história é que a economia da descoberta e exploração de vulnerabilidades está em colapso. Essa mudança altera o modelo de ameaças para tudo o que envolve chaves privadas: gateways RPC, painéis de staking, pipelines de hot wallets de exchanges, frontends de DeFi e até mesmo os navegadores e sistemas operacionais usados para assinar transações.

A Nova Realidade de Segurança: IA Reduz o Custo Marginal dos Zero-Days

A descoberta de vulnerabilidades impulsionada por IA está evoluindo rapidamente de “assistiva” para “agente”: modelos podem pesquisar bases de código, raciocinar sobre explorabilidade e iterar em direção a condições de prova de conceito com mínima intervenção humana. A própria Anthropic descreveu a capacidade de classe Mythos como uma mudança significativa em fluxos de trabalho de descoberta e exploração autônoma (veja o artigo da Anthropic sobre Mythos Preview sob o Project Glasswing: Claude Mythos Preview).

A alegação da Depthfirst adiciona um segundo acelerador: eficiência de custo. Se um modelo especializado pode produzir descobertas comparáveis por ~10% do gasto, então:

  • Equipes defensivas podem escanear mais código, com mais frequência.
  • Atores ofensivos podem fazer o mesmo — incluindo o direcionamento de infraestrutura com forte foco em cripto e margens de segurança mais finas.

Isso se alinha com sinais mais amplos da inteligência de ameaças. As equipes de ameaças do Google alertaram que hackers assistidos por IA já estão aparecendo na natureza, incluindo atividades avaliadas como envolvendo IA na descoberta e exploração de uma fraqueza previamente desconhecida, estilo “zero-day” (relato sobre o aviso do Google).

O Que a Depthfirst Diz Ter Encontrado (E Por Que Esses Alvos São Importantes para a Web3)

O anúncio da Depthfirst referenciou várias categorias de problemas em softwares amplamente utilizados. Mesmo sem assumir que todos os detalhes já são totalmente públicos, os tipos de componentes mencionados são exatamente aqueles dos quais a Web3 depende:

1) NGINX: A Porta de Entrada Padrão para RPCs, APIs e Dashboards

A Depthfirst afirma ter encontrado uma falha crítica no NGINX, descrita como de longa data (desde 2008) e potencialmente afetando uma grande parte da Internet, com um patch esperado em breve do mantenedor atual (F5).

Em cripto, o NGINX geralmente fica na frente de:

  • Endpoints RPC (limitação de taxa, cache, roteamento, término TLS)
  • APIs de exploradores e indexadores
  • Gateways de serviços de custódia e assinatura (painéis administrativos internos, ingressos de serviço para serviço)
  • Camadas web de exchanges e corretoras

Um único problema de alto impacto no NGINX pode se tornar um evento de “escanear a Internet inteira”. Para os operadores, a medida mais prática é monitorar continuamente os avisos upstream, pois o pensamento de “patch terça-feira” não sobrevive à descoberta em escala de IA. Comece com o índice upstream: NGINX security advisories.

2) Linux: Nós Validadores, Indexadores e Assinadores Rodam Principalmente Aqui

A Depthfirst também fez referência a uma séria vulnerabilidade no Linux com potencial de execução remota de código, que, segundo relatos, não estava totalmente remediada no momento da divulgação.

Independentemente de o bug específico estar no espaço do kernel, em bibliotecas comuns ou em um serviço padrão, a lição para cripto é consistente:

  • A maioria das frotas de nós executa imagens Linux homogêneas.
  • Uma vez que um exploit confiável exista, atacantes podem pivotar de “uma máquina” para “muitas máquinas”, especialmente onde nós RPC estão expostos ou onde redes internas são planas.

Se você mantém infraestrutura de produção, mantenha sua ingestão de vulnerabilidades vinculada a um processo de divulgação coordenada. A orientação do governo dos EUA sobre divulgação coordenada de vulnerabilidades é uma base útil para programas e fluxos de resposta: CISA Coordinated Vulnerability Disclosure Program.

3) Chrome: A Camada de UX da Carteira é um Problema de Segurança do Navegador

A declaração da Depthfirst também apontou para vulnerabilidades no Google Chrome, com pelo menos algumas já corrigidas pelo Google.

Para usuários de cripto, navegadores são efetivamente parte do perímetro de assinatura:

  • Extensões de carteira e provedores injetados residem aqui.
  • Muitos ataques de phishing são bem-sucedidos sem “quebrar cripto” — eles quebram a camada de confiança do navegador e, em seguida, enganam os usuários para assinar.

Operacionalmente, o controle mais simples ainda é um dos mais fortes: mantenha os navegadores em canais estáveis e atualizados e exija conformidade de versão em ambientes corporativos. Acompanhe as correções upstream pelo canal oficial: Chrome Releases.

4) FFmpeg: Bibliotecas “Não de Cripto” Ainda Acabam em Sistemas de Cripto

A Depthfirst também referenciou problemas no FFmpeg, um framework multimídia de código aberto. Pode parecer não relacionado ao blockchain — até você considerar implantações reais:

  • Ferramentas de suporte que ingerem conteúdo do usuário (vídeos de KYC, anexos de suporte, uploads de marketing)
  • Sistemas de moderação interna
  • Pipelines de notificação que processam mídia
  • Qualquer microserviço de “utilidade” empacotado em uma imagem de plataforma maior

A própria orientação de segurança do FFmpeg está aqui: FFmpeg Security.

A lição da Web3: atacantes não se importam se uma biblioteca é “cíprico-nativa”. Eles se importam se ela é alcançável, explorável e leva a credenciais, segredos ou movimento lateral em direção a sistemas de assinatura.

A “Open Defense Initiative” da Depthfirst: Por Que o Acesso é Mais Importante que o Branding

A Depthfirst também anunciou um novo plano chamado Open Defense Initiative, comprometendo até US$ 5 milhões em acesso/créditos para tornar suas ferramentas de detecção de vulnerabilidades por IA disponíveis para empresas e desenvolvedores de código aberto.

Se este modelo (e outros semelhantes) se tornar amplamente disponível, devemos esperar dois efeitos opostos ao mesmo tempo:

  • Melhor segurança para código aberto, porque mantenedores e defensores podem encontrar bugs mais cedo.
  • Mais pressão de “bug para exploit”, porque a velocidade de descoberta aumenta mais rápido do que muitos projetos conseguem triar, corrigir e lançar atualizações.

Isso não é hipotético. Mesmo hoje, o ecossistema de vulnerabilidades está sob pressão de volume. O NIST tem discutido publicamente mudanças operacionais para lidar com o crescimento recorde de registros CVE e priorização em escala (NIST NVD updates).

Por Que Cripto é um Alvo de Alto Valor em um Mundo Acelerado por IA

Sistemas de cripto concentram valor de maneiras que os tornam singularmente atraentes quando a exploração se torna mais barata:

  1. Chaves privadas convertem comprometimento em perda imediata e irreversível Um RCE de servidor ou backdoor na cadeia de suprimentos pode levar diretamente à autoridade de assinatura, drenagem de hot wallets ou atualizações maliciosas.

  2. Pilhas de código aberto e compositivas expandem a superfície de ataque Equipes de DeFi e infraestrutura lançam rapidamente, reutilizam dependências e integram SDKs de terceiros. A IA facilita a busca por elos fracos nesse gráfico de dependência.

  3. Web3 é operacionalmente “sempre ativo” Nós, indexadores, relayers, pontes e sistemas de market-making não podem simplesmente pausar para uma longa janela de patches sem impacto financeiro real — que é exatamente o que os atacantes exploram.

  4. Atacantes já estão se adaptando Além dos anúncios de fornecedores, relatórios de inteligência de ameaças agora apontam para criminosos experimentando IA para descobrir e operacionalizar fraquezas previamente desconhecidas (cobertura da avaliação do Google).

Uma Lista de Verificação de Defesa Prática para Equipes Web3

Se você opera infraestrutura de cripto (serviços de carteira, exchanges, provedores de RPC, protocolos ou dApps), considere as seguintes prioridades como “básicos da era da IA”:

1) Trate componentes voltados para a Internet como descartáveis

  • Use imagens imutáveis, reconstruções rápidas e deploys blue/green.
  • Presuma comprometimento e projete para rotação rápida.

2) Reduza o raio de explosão em torno da autoridade de assinatura

  • Isole assinadores de computação geral.
  • Segmente rigorosamente as redes; elimine caminhos de entrada para hosts de assinatura.
  • Exija múltiplos controles para assinatura de produção (política + revisão humana + limites de taxa).

3) Mude de “escanear tudo” para “validar explorabilidade”

Ferramentas impulsionadas por IA inundarão filas se seu processo não conseguir validar o caminho de acesso e os caminhos de exploração. Certifique-se de que seu pipeline possa responder:

  • É alcançável em nossa implantação?
  • É explorável com nossa configuração?
  • Toca segredos, autenticação ou assinatura?

4) Fortaleça a cadeia de suprimentos

  • Fixe dependências e verifique a integridade.
  • Use builds reproduzíveis sempre que possível.
  • Assine releases e verifique assinaturas na implantação.
  • Fique atento a typosquatting em pacotes de build-time (especialmente em CI).

5) Atualize o músculo de divulgação e resposta a incidentes

Se a IA pode encontrar problemas durante a noite, sua organização precisa:

  • Triar rapidamente
  • Corrigir com segurança
  • Comunicar claramente
  • Coordenar upstream quando o bug estiver em infraestrutura compartilhada

A orientação de divulgação da CISA é um bom ponto de partida para a estrutura do programa e as expectativas: CISA vulnerability disclosure resources.

O Que Isso Significa para Usuários de Cripto do Dia a Dia

Mesmo que você não opere servidores, a descoberta de vulnerabilidades acelerada por IA ainda afeta você porque suas transações tocam:

  • Navegadores (phishing + bugs de navegador)
  • Sistemas operacionais (roubo de credenciais, sequestro de clipboard, roubo de tokens de sessão)
  • Sites e endpoints RPC (roteamento malicioso, conteúdo injetado)

Dois comportamentos simples importam mais do que nunca:

  1. Atualize seu navegador e sistema operacional prontamente Acompanhe as correções do Chrome pelo canal oficial de lançamento: Chrome Releases.

  2. Mantenha as chaves privadas isoladas da superfície de ataque voltada para a Internet É aqui que uma carteira de hardware reduz significativamente o risco: mesmo que seu computador esteja exposto a um exploit de navegador, um fluxo de assinatura bem projetado força a confirmação no dispositivo e impede que as chaves privadas brutas sequer toquem no host.

Onde a OneKey se Encaixa: Defesa em Profundidade para a Era da IA

A IA tornará a descoberta de vulnerabilidades mais rápida em ambos os lados da luta. Nesse ambiente, a postura de segurança de cripto mais resiliente é em camadas:

  • Higiene da infraestrutura (patching, segmentação, menor privilégio)
  • Controles operacionais (política de assinatura, monitoramento, resposta a incidentes)
  • Isolamento de chave do lado do usuário (assinatura com suporte de hardware)

Para usuários focados em autocustódia, a proposta de valor principal da OneKey se alinha diretamente com essa realidade: manter as chaves privadas fora de dispositivos de propósito geral e exigir confirmação explícita durante a assinatura. À medida que as camadas de navegador, sistema operacional e servidor web se tornam mais voláteis sob descoberta em escala de IA, o isolamento de chaves se torna menos uma “melhor prática” e mais uma expectativa básica para segurança séria de cripto.

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.