O Claude Mythos da Anthropic descobriu autonomamente milhares de vulnerabilidades zero-day em principais sistemas operacionais e navegadores, alcançando uma taxa de sucesso no desenvolvimento de exploits de 72,4% sem orientação humana. O modelo pode pegar um identificador CVE e hash de commit git, então produzir exploits funcionais em horas. Isso se junta a uma lista crescente de pesquisa de vulnerabilidades potencializada por IA: Big Sleep do Google encontrou 20 zero-days em projetos open source, enquanto OpenClaw da Sophos comprimiu reconhecimento Active Directory de três dias para três horas em testes internos.
Os números contam a história real. Tempo até exploração caiu de 61 dias em 2024 para 28,5 dias em 2025, com tempo mediano da divulgação até a lista Known Exploited Vulnerabilities da CISA encolhendo de 8,5 para 5 dias. Exploração confirmada de vulnerabilidades de alta severidade dobrou para 146 casos em 2025. Isso não é apenas pesquisa mais rápida—é uma mudança fundamental na economia da descoberta de vulnerabilidades que os defensores não alcançaram.
O que está faltando na resposta da indústria de segurança é reconhecimento honesto da lacuna de capacidade. Enquanto Rapid7 e CSA focam em corrigir mais rápido, Sophos está realmente rodando essas ferramentas internamente e vendo o impacto em primeira mão. Seu exercício OpenClaw produziu 23 descobertas acionáveis incluindo caminhos de escalação Domain Admin de uma única conta sem privilégios. Isso não é teórico—é ofensa pronta para produção.
Para desenvolvedores construindo sistemas IA, isso significa que segurança não pode mais ser uma reflexão tardia. Vocês precisam de revisões de segurança potencializadas por IA em pipelines CI/CD agora, não quando sua próxima auditoria de segurança chegar. A velha suposição de que vocês têm semanas para responder a vulnerabilidades está morta.