Num desenvolvimento sem precedentes, um modelo de inteligência artificial (IA) da OpenAI, denominado o3, identificou uma vulnerabilidade de segurança "zero-day" anteriormente desconhecida no kernel do Linux. Este é um marco significativo, pois é a primeira vez que uma IA consegue detetar uma falha desta natureza num sistema de software tão complexo e amplamente utilizado como o kernel do Linux, que serve de base a milhões de servidores e computadores em todo o mundo. A vulnerabilidade foi oficialmente documentada como CVE-2025-37899.
O cérebro por detrás da descoberta: OpenAI o3 em ação
O investigador de segurança Sean Heelan revelou num blog post que utilizou o modelo de raciocínio o3 da OpenAI, através da sua API e sem recurso a ferramentas adicionais, para auditar o módulo ksmbd do kernel Linux em busca de vulnerabilidades. O ksmbd é um servidor dentro do kernel do Linux que implementa o protocolo SMB3, permitindo a partilha de ficheiros em rede.
Segundo Heelan, o modelo o3 demonstrou uma compreensão notável das conexões concorrentes ao servidor. Conseguiu identificar "uma localização onde um objeto específico, que não tem contagem de referências, é libertado enquanto ainda está acessível por outro thread". Essencialmente, a IA detetou uma vulnerabilidade crítica do tipo "use-after-free" (uso após libertação) no gestor do comando SMB 'logoff'.
Mergulho técnico: como a falha CVE-2025-37899 foi exposta
Para encontrar esta falha, o modelo o3 processou todos os gestores de comandos SMB, que totalizam aproximadamente 12.000 linhas de código, consumindo cerca de 100.000 tokens. A vulnerabilidade "use-after-free" ocorre quando uma porção de memória é libertada (tornada disponível para reutilização), mas o sistema continua a tentar usar essa memória, o que pode levar a comportamentos erráticos, quebras de sistema ou, em cenários mais perigosos, à execução de código malicioso.
Da descoberta à correção: um processo inédito e eficaz
Este caso representa a primeira vez que se completa um ciclo inteiro: uma IA descobre uma falha de segurança, um humano verifica e confirma a sua existência, uma correção oficial é desenvolvida e, por fim, a vulnerabilidade é encerrada. Uma atualização (patch) para o kernel do Linux já foi submetida e integrada no repositório oficial do kernel Linux no GitHub.
Curiosamente, o investigador deparou-se com esta nova falha de segurança enquanto avaliava a capacidade de modelos de IA como o Claude 3.7 Sonnet, Claude 3.5 Sonnet e o OpenAI o3 numa outra vulnerabilidade de segurança – uma falha de autenticação Kerberos (CVE-2025-37778). Heelan relatou que o o3 encontrou a vulnerabilidade Kerberos em 8 de 100 tentativas; o Claude 3.7 Sonnet detetou-a em 3 de 100 tentativas, enquanto o Claude 3.5 Sonnet não a conseguiu encontrar em 100 tentativas.
O futuro da segurança potenciado pela inteligência artificial
Apesar do sucesso, Sean Heelan adverte que "o o3 não é infalível". No entanto, sublinha que os modelos de IA de raciocínio mais recentes deram um salto significativo na capacidade de compreender grandes volumes de código. Para projetos com menos de 10.000 linhas de código, modelos como o o3 podem ser uma ajuda valiosa na resolução de problemas. No que diz respeito à investigação de vulnerabilidades, estes novos modelos de raciocínio podem tornar os especialistas "significativamente mais eficientes e eficazes".
Nenhum comentário
Seja o primeiro!