OpenSSL corrige vulnerabilidade de alta severidade detectada com auxílio de IA

O OpenSSL corrigiu, em 9 de junho de 2026, 18 vulnerabilidades — incluindo a CVE-2026-45447, uma falha de heap use-after-free de alta severidade na verificação PKCS#7 — descoberta por um pesquisador da Califórnia com auxílio do Claude AI e da Anthropic Research. Essa é a segunda falha de alta severidade corrigida pelo OpenSSL em 2026, reforçando um padrão crescente: desde outubro de 2025, sistemas de IA como o AISLE (da Aisle) já identificaram 20 vulnerabilidades no projeto, sendo 12 delas divulgadas em janeiro de 2026 (incluindo a crítica CVE-2025-15467, CVSS 9,8) e 5 em abril de 2026. Três dessas falhas haviam permanecido ocultas desde 1998–2000, evidenciando limites dos métodos tradicionais de auditoria.

Importante destacar que a CVE-2026-45447 não está relacionada ao GPT-5.6, GPT-6, Claude Opus 4 ou Gemini 3 — são modelos de linguagem grandes (LLMs) usados para assistência na análise de código, mas não foram os responsáveis diretos pela descoberta. O papel do Claude AI aqui foi de suporte técnico na revisão de lógica de memória e padrões de uso incorreto de heap em C, não de geração autônoma de exploits. A distinção é crítica para quem busca informações sobre 'Claude Opus 4' ou 'GPT-6': esses modelos não têm versões oficiais lançadas até junho de 2026, embora circulem rumores e testes internos com nomes como GPT-5.6 / GPT-6.

A correção da CVE-2026-45447 importa porque o OpenSSL é a base criptográfica de mais de 70% dos servidores web ativos (segundo W3Techs, dados de maio/2026), além de ser usado em dispositivos IoT, sistemas embarcados e aplicações de email (S/MIME). Uma falha de execução remota de código (RCE) nesse contexto pode permitir invasões em larga escala sem interação do usuário — basta o recebimento de uma mensagem PKCS#7 maliciosa. Diferentemente de vulnerabilidades teóricas, essa já tem PoC (prova de conceito) documentada em relatórios da CERT/CC e foi reproduzida em ambientes de teste com OpenSSL 3.2.x e 3.3.x. A alta severidade também reflete sua exploração potencial em cenários de phishing avançado e ataques de cadeia de suprimento.

Desenvolvedores devem atualizar imediatamente para o OpenSSL 3.3.2 (lançado em 9/06/2026) ou 3.2.9, pois versões anteriores contêm a CVE-2026-45447 e outras falhas críticas. A correção exige revisão de qualquer código que use as funções PKCS7_verify(), SMIME_read_PKCS7() ou PKCS7_dataDecode() com entradas não confiáveis. Equipes de DevSecOps devem integrar scanners baseados em IA (como os da AISLE ou ferramentas open-source inspiradas, como CodeQL + LLM-assisted rule generation) em seus pipelines CI/CD — estudos da OWASP 2026 mostram que equipes que adotaram esse modelo reduziram em 68% o tempo médio de detecção de bugs de memória em C/C++. Não se trata de substituir engenheiros por IA, mas de ampliar sua capacidade de auditar código legado complexo, como o do OpenSSL, onde 40% das falhas críticas de 2025–2026 estavam em módulos com mais de 20 anos de idade.