Já Passamos Por Isso Antes: Decompiladores, Fuzzers e Agora IA

A ClearSecLabs contesta a tese de Thomas Ptacek de que "pesquisa de vulnerabilidades morreu", argumentando que o pânico com IA ecoa ciclos anteriores com decompiladores Hex-Rays, AFL/libFuzzer e CodeQL/Semgrep, que automatizaram o trabalho básico tornando o julgamento humano mais valioso. O autor reconhece que LLMs são qualitativamente diferentes, citando 500+ vulnerabilidades validadas pela Anthropic, IA encontrando 12 de 12 zero-days do OpenSSL antes dos humanos, e descoberta do CVE-2026-4747 pelo Claude Mythos, mas contra-argumenta que defensores têm as mesmas ferramentas, descoberta de novas classes de bugs ainda requer criatividade humana, e IA em pipelines CI/CD estruturalmente favorece a defesa. Profissionais devem tratar isso como argumento de equilíbrio: investir em direcionamento de agentes ao invés de competir contra eles, combinar pattern-matching de LLM com intuição de domínio para falhas lógicas, e esperar enxurrada de relatórios de baixa qualidade gerados por IA que defensores precisarão filtrar.