José Estêvão de Melo
Engenheiro Informático
Em 13 de maio de 2026, investigadores da Universidade de Berkeley, do Max Planck Institute for Security and Privacy, e de três empresas que provavelmente estão a correr no seu browser enquanto lê isto, Anthropic, OpenAI e Google, publicaram um estudo com um título que parece saído de um exercício académico mas que, lido com atenção, é mais perturbante do que qualquer cenário de ficção científica que já tenha encontrado sobre inteligência artificial. O estudo chama-se ExploitGym, e a questão que lhe dá origem é esta: conseguem os agentes de IA actuais pegar numa vulnerabilidade conhecida de software e transformá-la num ataque funcional?
A resposta, documentada ao longo de 898 casos reais retirados de projectos como o FFmpeg, o OpenSSL, o motor JavaScript V8 do Chrome e o kernel Linux, é que sim, em muitos casos conseguem, e fazem-no dentro de duas horas. O Claude Mythos Preview, o modelo frontier da Anthropic que não está disponível ao público em geral, explorou com sucesso 157 das 898 instâncias. O GPT-5.5 da OpenAI conseguiu 120. Os investigadores deram a cada agente três coisas: o código-fonte do programa vulnerável, um input que desencadeia a falha, e um ambiente de execução isolado dentro de um contentor. A tarefa era transformar esse input num exploit real, ou seja, obter execução de código não autorizada, ler uma flag que o programa não devia revelar por nenhuma via legítima. Não houve atalhos. Não foi um teste de conhecimento geral sobre vulnerabilidades. Foi trabalho técnico de baixo nível: raciocinar sobre layouts de memória, encadear primitivas de ataque, adaptar abordagens quando a primeira falhou.
O detalhe que mais me ficou foi outro. Quando os investigadores activaram as defesas de segurança standard — ASLR, stack canaries, a sandbox do V8, KASLR no kernel, o número de sucessos caiu substancialmente. No Claude Mythos Preview, de 157 para 45. Mas não chegou a zero. O modelo encontrou formas de contornar cada uma das defesas: overwrites parciais de ponteiros para derrotar o ASLR, técnicas conhecidas de fuga da sandbox do V8, e truques de kernel como sobrescrever o caminho modprobe_path e canais laterais para iludir o KASLR. Estas não são técnicas triviais. São o tipo de trabalho que, num contexto de segurança ofensiva real, exige anos de especialização e muito tempo de engenheiro. O modelo fez em menos de duas horas, em vários casos, sem garantia de sucesso e sem acesso a nenhuma informação além do código e do input inicial.
Mas o dado mais desconcertante de todo o estudo não estava nas tabelas de resultados. Os investigadores notaram que, com frequência, os agentes conseguiram execução de código através de uma vulnerabilidade diferente da que lhes foi apontada. Foram às 898 instâncias com um alvo definido e encontraram, pelo caminho, outros buracos no código que os investigadores nem tinham identificado como relevantes. Um auditor de segurança humano faz isto raramente, e geralmente depois de muito tempo a examinar o código. O agente fê-lo como subproduto da tentativa de resolver o problema que lhe foi atribuído.
Há uma distinção que importa fazer antes de continuar. Um exploit, no sentido técnico, é diferente de uma vulnerabilidade. A vulnerabilidade é o bug, a falha no código. O exploit é o mecanismo que transforma essa falha num ataque concreto, a sequência de passos que leva o sistema a executar código que não devia, a revelar dados que não devia, a escalar privilégios que não devia. Durante anos, a diferença prática entre os dois era que encontrar uma vulnerabilidade era difícil mas estava a tornar-se progressivamente mais automatizável, enquanto construir um exploit fiável continuava a exigir perícia humana considerável. O ExploitGym mede, com precisão, onde essa linha está hoje: não desapareceu, mas recuou muito.
Tudo isto seria preocupante num mundo onde as vulnerabilidades conhecidas são corrigidas rapidamente. Não é esse o mundo em que vivemos. Em 2025, foram publicadas 48.185 CVEs, cerca de 131 por dia. O tempo médio para corrigir uma falha de segurança aumentou 47% desde 2020 e chegou aos 252 dias. Mas o problema mais fundo não é a lentidão nos patches: é que uma fatia considerável da infraestrutura digital em produção hoje não pode ser corrigida de forma alguma, porque corre software cujo suporte terminou e para o qual não existem patches. Em meados de 2025, 58% das organizações globais ainda tinham pelo menos um sistema além do ciclo de vida suportado pelo fabricante. Em sectores como a saúde, a energia ou a indústria transformadora, esses sistemas legados não são curiosidades históricas, são a espinha dorsal de operações críticas, muitas vezes integrados em hardware específico que não aceita actualizações, geridos por empresas que já não existem ou que simplesmente não têm orçamento para uma migração que pode custar mais do que o equipamento que está a substituir. Uma vulnerabilidade descoberta nesse software torna-se permanente no momento em que é divulgada, porque não haverá patch amanhã nem nunca. O que o ExploitGym demonstrou é que um agente com duas horas e o relatório dessa vulnerabilidade tem agora uma probabilidade real de a transformar num ataque funcional.
Os próprios investigadores são explícitos sobre a natureza dual desta capacidade. Para os defensores, a geração automatizada de exploits pode acelerar a triagem de severidade de vulnerabilidades, ajudar a priorizar patches e validar se as mitigações implementadas realmente funcionam. Para os atacantes, a mesma capacidade baixa a barreira de entrada para trabalho que antes exigia anos de especialização, e torna possível usar trajectórias parciais geradas por agentes como ponto de partida para exploits funcionais. Usaram a expressão force multiplier, que é o género de linguagem que os militares usam para descrever tecnologias que amplificam a eficácia de um operador, e que raramente aparece em papers de ciência da computação de forma casual.
O que fica por responder, e que o paper coloca de forma honesta sem fingir ter a resposta, é a questão da janela temporal. Se modelos acessíveis ao público como o Claude Opus 4.6 conseguiram apenas 15 sucessos nos mesmos 898 casos, e o Mythos Preview conseguiu 157, a diferença entre os dois é de uma geração de modelo. A trajectória de melhoria nos últimos dois anos neste tipo de capacidade tem sido rápida. Os investigadores escrevem que a janela para uma governação proactiva está a estreitar-se. Para os sistemas que podem ser corrigidos, talvez ainda haja tempo. Para os que não podem, a questão já está respondida.
A empresa multinacional Google, responsável pelo projeto transatlântico de cabos submarinos “Nuvem” e “Sol”, vai instalar-se no Tecnoparque, na cidade da Lagoa, construído um edifício de telecomunicações, que incluirá uma estação de receção de cabos (CLS). A informação foi avançada esta quinta-feira, 17 de julho, pela Câmara Municipal de Lagoa.
O gigante tecnológico irá instalar-se no Lote 32 B do Tecnoparque, uma área de cerca de 15 mil metros quadrados.
Segundo o presidente da autarquia lagoense, Frederico Sousa, “é com orgulho e sentido de responsabilidade que vemos confirmado que uma empresa como a Google, decidiu escolher instalar-se na Lagoa. Este é um sinal claro de que o nosso potencial e qualidade está a ser reconhecido, mas também, a nossa estabilidade institucional e o trabalho que temos desenvolvido em favor da sustentabilidade, da inovação e da captação de investimento, também reforçado pela presença do Nonagon e de outros investimentos de grande prestígio no Tecnoparque. Este marco histórico posiciona assim a Lagoa e os Açores como um polo estratégico no panorama tecnológico nacional e internacional”.
Em setembro de 2023, a Google anunciou o seu projeto “Nuvem”, um novo sistema de cabos submarinos transatlânticos que irá ligar Estados Unidos, Bermudas, Açores e Portugal. Com este projeto, a rede em todo o Atlântico será melhorada, sendo que o novo trajeto do cabo irá aumentar a diversidade das rotas internacionais e apoiar o desenvolvimento de infraestruturas de tecnologias da informação e comunicação para os continentes e países envolvidos, nomeadamente o universo Google Cloud. Um projeto entretanto reconhecido como relevante e de interesse público pelo Governo regional dos Açores.
A autarquia da Lagoa, em comunicado, salienta ainda que a instalação do complexo de telecomunicações na Lagoa “irá reforçar a capacidade de atratividade de novas empresas e oportunidade de novos negócios para a Lagoa e para os Açores, oferecendo uma rota alternativa para os sistemas submarinos transatlânticos, com menor latência e maior resiliência”.
A cidade da Lagoa, na ilha de São Miguel, deverá ter a amarração do primeiro cabo submarino que liga diretamente os Estados Unidos da América (EUA) a Portugal. A informação foi avançada esta sexta-feira, 26 de julho, pelo presidente do Governo regional dos Açores, no Palácio da Conceição, onde decorreu a apresentação do projeto.
Em declarações aos jornalistas, José Manuel Bolieiro disse que “temos um Parque Tecnológico que é muito significante e que cada vez vai ter mais impacto e que é o Nonagon. Vamos aproveitar parte da capacidade instalada, mas as decisões definitivas são da Google. De qualquer forma também tivemos a oportunidade de apresentar de forma competitiva o potencial que temos para a escolha desta amarração aqui nos Açores e não noutros espaços”.
Questionado se a amarração será feita na Lagoa, José Manuel Bolieiro disse: “sim, tendencialmente será na Lagoa”.
O presidente do Governo regional referiu, também, que o investimento representa “o futuro, a esperança, a dimensão real e verdadeira da posição geocêntrica dos Açores no mundo moderno da ciência, da tecnologia e da dimensão marítima e espacial que o arquipélago tem”.
José Manuel Bolieiro declarou ainda que o Governo regional manteve “sempre com sigilo” as conversações com a Google para a amarração nos Açores do cabo que vai ligar os Estados Unidos à Europa.
O novo cabo submarino de fibra ótica tem 6.900 quilómetros de extensão e passa também pelas Bermudas. A Google, empresa promotora do projeto, não avançou o valor do investimento. A amarração do novo cabo só deverá ficar concluída depois de 2026.
Presentes na sessão, para além do diretor-geral da Google Portugal, Bernardo Correia, estiveram a presidente da ANACOM, Sandra Maximiano, a cônsul dos Estados Unidos nos Açores, Margaret C. Campbell, e vários autarcas da ilha de São Miguel, entre dezenas de outros convidados.