O relatório Synack 2026 State of Vulnerabilities, publicado em 18 de maio, contém uma manchete contraintuitiva: a defesa de fato melhorou. O mean time to remediate (MTTR) caiu de 63 dias em 2024 para 38 dias em 2025 — uma redução de 47% em todos os níveis de severidade, com vulnerabilidades críticas corrigidas 25 dias mais rápido em média. 48.244 CVEs foram publicados em 2025 (um aumento de 20% YoY), e findings de alta severidade subiram 10%. O framing do relatório inverte essa imagem: argumenta que a lacuna entre disponibilidade de exploit e desplegamento de patch se estreitou porque adversários AI-driven agora podem operacionalizar novas vulnerabilidades em horas, não semanas. O ganho defensivo importa menos do que a lacuna ofensa-defesa.
O mecanismo para onde o relatório aponta é a AI agêntica em papel ofensivo — scanners autônomos que sondam em velocidade de máquina, e exploração code-aware que converte um CVE publicado num exploit funcional mais rápido do que humanos podiam antes. O relatório cita React2Shell (CVE-2025-55182), uma execução remota de código não-autenticada no React, como o tipo de finding que red teams humanos teriam levado dias para weaponizar e que agora envia em horas. A classe de vulnerabilidade mais comum continua sendo XSS, seguida por issues de autorização/permissões e injeção de conteúdo. O que o writeup não quantifica: o número real de horas-ao-exploit, o stack de AI tools usado para conseguir, ou a baseline de comparação contra desenvolvimento de exploit só-humano. Hedge honesto: o claim de "horas" é framing sem metodologia divulgada.
A assimetria tem uma causa estrutural além da capacidade AI. Defensores têm que validar patches em CI, enfileirá-los através de janelas de mudança, e propagá-los através de muitas superfícies de produção. Atacantes iteram contra um único alvo com zero custo de rollback. A AI inclina os dois lados — defensores usam triagem automatizada estilo Daybreak (a ferramenta de validação de vulnerabilidades da OpenAI lançada em 12 de maio); atacantes usam a mesma classe de tooling autônomo para sondar. Mas a assimetria ofensa-defesa no custo de iteração favorece o atacante por uma ordem de magnitude mesmo quando a capacidade está equilibrada. A postura recomendada do relatório Synack é validação contínua: sonde sua própria superfície tão rápido quanto adversários a sondam. O CTO da Synack, Dr. Mark Kuhr: "Organizações que validam continuamente a segurança em seu ambiente respondem mais rápido e fecham janelas críticas de exposição mais cedo."
Segunda-feira: se você envia serviços expostos à internet em React, verifique sua exposição a CVE-2025-55182 agora — é o tipo de RCE não-autenticado que se weaponiza dentro da janela de horas que o relatório descreve. Se você opera um agente AI exposto à internet (browser-use, tool-calling que toca sites terceiros), sua superfície de ataque inclui o agente em si, que pode ser prompt-injected para vazar credenciais ou exfiltrar dados — e a mesma janela de horas se aplica. A mudança acionável deste relatório é calibração: pare de medir o tempo de desplegamento de patch contra o tempo de desenvolvimento de exploit do ano passado, e comece a orçar para adversários que igualam sua cadência de patches em velocidade de máquina. Não entre em pânico com o framing de "horas" — o número subjacente não é divulgado — mas trate a disponibilidade de exploit como aproximadamente real-time para CVEs conhecidos.