Pesquisador gasta US$ 1.500 para descobrir se LLMs conseguem hackear aplicativos sozinhos

O experimento de US$ 1.500 não testou se LLMs 'conseguem hackear', testou se elas conseguem executar um ataque completo e contextualizado, sem intervenção humana, em um cenário realista: descompilar um APK, identificar uma infraestrutura Firebase mal configurada (não IDOR), extrair credenciais expostas e acessar dados privados. Isso exige raciocínio de camadas, engenharia reversa + reconhecimento de stack + exploração de configuração, e não apenas reconhecimento de padrão em código-fonte. O GPT-4.5 venceu por resistir a alucinações críticas, manter o foco na cadeia lógica exigida e evitar recusas éticas programadas (como o Gemini fez). Já o GPT-5.5, citado em cobertura anterior com desempenho superior em outro app vulnerável, não aparece nesse teste, o que reforça que performance não é universal: depende da arquitetura alvo, do tipo de falha e do contexto operacional.

A ameaça real não está em LLMs substituírem hackers, mas em reduzirem drasticamente a barreira técnica para ataques pontuais. Um invasor com conhecimento básico pode orquestrar um agente que descompila, varre Firebase, interpreta erros de autenticação e extrai flags, tudo com prompts bem estruturados. E isso já está acontecendo: o Google bloqueou, em maio de 2026, o primeiro exploit de dia zero desenvolvido com auxílio de IA. A OWASP lista 'agência excessiva' como risco crítico porque modelos estão agindo autonomamente em ambientes produtivos, e não só em laboratórios.

Na cobertura de 4 de junho, o mesmo pesquisador usou um app de avaliações de livros com vazamento de dados via IDOR, e o GPT-5.5 foi o destaque. Agora, com um app React Native + Firebase mal configurado (sem IDOR), o GPT-4.5 supera todos, inclusive o GPT-5.5, que não participou deste ciclo. Isso mostra que a evolução não é linear: modelos mais novos não dominam automaticamente todas as classes de vulnerabilidade. Também mudou o foco técnico, de exploração web simples para engenharia reversa móvel + nuvem, e o critério de sucesso: antes era encontrar dados privados em endpoints; agora é executar um fluxo multi-etapa com ferramentas externas (como apktool) e interpretação de configurações de backend.

Empresas que confiam em Firebase, Supabase ou Back4App sem revisão de regras de segurança estão expostas a ataques automatizados que não precisam de expertise em pentest, só de acesso a um LLM capaz de seguir instruções técnicas. Um único APK mal configurado pode virar porta de entrada para vazamento em escala, especialmente em apps com milhões de usuários. Além disso, os resultados invalidam a ideia de que 'modelos maiores são sempre melhores': o DeepSeek V4 Pro resolveu um problema similar por US$ 0.62, enquanto o Gemini se recusou quase totalmente. Isso obriga equipes de segurança a testar LLMs sob carga real, não só em benchmarks teóricos, e a reavaliar políticas de uso interno de IA em ambientes de desenvolvimento.