Daybreak deve rivalizar com o Claude Mythos, da Anthropic (ilustração: Vitor Pádua/Tecnoblog)Resumo
OpenAI lançou o Daybreak, uma inteligência artificial projetada para prever e prevenir ataques cibernéticos.
O Daybreak analisa o código-fonte de uma organização, simula ataques e identifica vulnerabilidades para aplicar correções automatizadas.
A novidade é uma resposta ao lançamento do Claude Mythos pela Anthropic, uma IA considerada “perigosa demais” pela própria empresa.
A OpenAI anunciou ontem (11/05) a chegada do Daybreak, uma inteligência artificial desenvolvida especialmente para o setor de segurança da informação corporativa. A ferramenta promete antecipar ameaças digitais, vasculhando sistemas em busca de vulnerabilidades e aplicando correções antes que cibercriminosos tenham a chance de explorá-las.
Não é uma novidade voltada para o público geral, mas preenche um vazio importante no portfólio da companhia liderada por Sam Altman, que até então não contava com uma solução dedicada à proteção de grandes infraestruturas. De quebra, o lançamento coloca a criadora do ChatGPT em disputa direta com a rival Anthropic, que há pouco lançou o Claude Mythos — IA considerada “perigosa demais” pela própria empresa.
Como o Daybreak funciona?
Segundo a OpenAI, a novidade vai além de um modelo de linguagem comum. Na verdade, é um pacote que une as versões mais recentes das IAs da empresa. Seu grande trunfo é a criação de um modelo feito sob medida para cada organização que contrata o serviço.
O processo começa com a leitura do código-fonte do cliente. Para isso, a ferramenta utiliza o agente do Codex Security — sistema voltado para revisão de programação lançado em março. Após essa varredura profunda, a IA veste o chapéu de um invasor: ela simula o pensamento hacker e mapeia as rotas com maior probabilidade de sucesso em um ataque real.
Nova IA da OpenAI foca em proteger infraestruturas corporativas (imagem: reprodução/OpenAI)
Com as vulnerabilidades identificadas, o Daybreak valida rapidamente quais delas representam riscos práticos no dia a dia da empresa. A etapa final é a ação corretiva automatizada. O sistema isola a ameaça, dispara alertas precisos para a equipe de TI e aplica as correções prioritárias.
Todo esse motor é alimentado por uma nova geração de modelos focados em lógica de programação e defesa de redes, incluindo o recém-anunciado GPT-5.5 e o modelo especializado GPT-5.5-Cyber.
Empresa quer rival para o Claude Mythos
Há pouco mais de um mês, a Anthropic agitou o mercado ao revelar o Claude Mythos. O modelo seria capaz de realizar capacidades analíticas tão impressionantes que a própria desenvolvedora o considerou perigoso demais para o público geral, temendo sua utilização na criação de malwares devastadores.
A estratégia da Anthropic foi restringir o Mythos a um grupo corporativo seleto. O plano de isolamento, porém, falhou. Investigações posteriores revelaram que a infraestrutura da companhia sofreu violações, concedendo acesso não autorizado aos recursos da ferramenta e gerando um enorme constrangimento.
Ciente do tropeço da concorrência, a OpenAI adotou um tom bem cauteloso. A dona do ChatGPT destacou que o desenvolvimento e a implementação do Daybreak estão sendo conduzidos em parceria estreita com especialistas da indústria e agências governamentais.
O objetivo central é garantir proteções rigorosas para que os modelos permaneçam exclusivamente nas mãos de defensores, evitando que a solução se transforme em um novo problema de segurança.
CVE Program lista as principais vulnerabilidades que impactam o setor de cibersegurança (Imagem: Erik Mclean/Unsplash)
CVE ou Common Vulnerabilities and Exposures é um programa internacional que identifica e publica vulnerabilidades no meio de cibersegurança. A iniciativa é administrada pela MITRE Corporation, e conta com o apoio de autoridades estadunidenses e empresas de hardware, software, redes e sistemas.
Falhas de seguranças descobertas são relatadas ao programa CVE. Então, empresas autorizadas pelo CVE (chamadas de CNAs) analisam e rotulam a vulnerabilidade. Geralmente, as publicações sobre essas falhas acontecem após a correção, de modo a evitar explorações.
A listagem dessas falhas facilita a identificação de vulnerabilidades, permitindo que pesquisadores e empresas se comuniquem mais assertivamente. Isso também evita a publicação duplicada de vulnerabilidades que já foram descobertas anteriormente.
A seguir, entenda melhor o que é o programa CVE e como ele funciona.
CVE ou Common Vulnerabilities and Exposures é uma iniciativa internacional focada em identificar, padronizar e listar publicamente vulnerabilidades e falhas na área de segurança cibernética.
Em definições mais simplistas, CVE pode ser atribuído à lista (lista CVE), que cataloga e resume falhas de segurança em softwares, hardwares e sistemas digitais.
O que significa CVE?
CVE é a sigla de “Common Vulnerabilities and Exposures”, cuja expressão pode ser traduzida como “Vulnerabilidades e Exposições Comuns”. O significado do termo vai de encontro com o propósito do programa de listar brechas de segurança conhecidas no meio cibernético.
Qual é o papel do CVE?
O CVE Program tem a função de ajudar as empresas na gestão de vulnerabilidades, com a identificação e padronização de falhas de segurança. Em outras palavras, pode-se dizer que o CVE funciona como um “dicionário de vulnerabilidades e exposições conhecidas” para o setor de segurança da informação como um todo.
A listagem e padronização do programa permite que as empresas identifiquem melhor o problema e se comuniquem com mais clareza sobre a falha. Além disso, o CVE também cumpre um papel importante de transparência ao divulgar publicamente que existe uma vulnerabilidade em um determinado software, hardware ou sistema.
Como funciona o programa CVE
O programa CVE tem funcionamento baseado em três etapas: análise, padronização e publicação.
Tudo começa com o reporte de uma possível vulnerabilidade: profissionais de segurança, fornecedores ou pesquisadores independentes enviam um relatório ao detectar uma falha de segurança — envolvendo a área de cibersegurança — em um produto.
Esse reporte então chega a uma das CVE Numbering Authorities (CNAs) ligadas ao produto, que são empresas autorizadas pelo CVE Program para analisarem as solicitações e atribuírem identificadores de CVE (IDs CVE). Em uma primeira etapa, essas autoridades vão analisar se a vulnerabilidade realmente se enquadra como uma vulnerabilidade.
Se houver constatação da falha de segurança, a CNA responsável seguirá com o processo de identificação do CVE, incluindo o ano de atribuição do ID CVE, e um número sequencial único para facilitar o reconhecimento e comunicação. Já se o reporte não for considerado uma vulnerabilidade, ele será rejeitado.
Etapas do programa CVE (Imagem: Divulgação/CVE Program)
Geralmente, o ID CVE só é publicado após empresa responsável pelo produto corrigir a falha (por meio de patches de atualização ou ajustes de sistema). Isso acontece para evitar que alguém possa explorar a vulnerabilidade antes da correção, mas casos de zero-day podem antecipar a publicação para alertar sobre os riscos.
E como o banco de dados CVE também é conectado a outros bancos de dados — a exemplo do National Vulnerability Database (NVD) —, o setor de cibersegurança como um todo consegue otimizar as informações com análises adicionais, incluindo atribuição de pontuações de riscos com o Common Vulnerability Scoring System (CVSS).
Quem administra o CVE?
A organização sem fins lucrativos MITRE Corporation é a administradora oficial do programa CVE. No entanto, o Department of Homeland Security (DHS) dos Estados Unidos atua como principal financiador, enquanto sua agência especializada Agência de Segurança Cibernética e Infraestrutura (CISA) também tem participação importante no ecossistema.
As CNAs também têm papel importante e mais prático, validando os reportes de vulnerabilidades e atribuindo IDs CVE. Atualmente, existem 498 CNAs de mais de 40 países diferentes no CVE Program, incluindo nomes como Amazon, Apple, Samsung, Microsoft, Meta Platforms, Google e Nvidia.
Quais são os critérios de qualificação de um CVE?
As vulnerabilidades identificadas pelo CVE devem corresponder ao que o programa entende como vulnerabilidade. E os critérios de vulnerabilidades do CVE Program abrangem:
uma instância de uma ou mais vulnerabilidades em um produto que pode ser explorada;
causar impacto negativo na confidencialidade, integridade ou disponibilidade do produto;
conjunto de condições ou comportamentos que permite a violação de uma política de segurança explícita ou implícita.
Também há outras questões nas regras operacionais do CVE para evitar confusões na hora da atribuição de uma vulnerabilidade. O documento completo está disponível na página de suporte do CVE.
Onde os CVEs são publicados?
Os CVEs são publicados na página oficial cve.org, administrada pela MITRE Corporation, e replicados pelo National Vulnerability Database em nvd.nist.gov.
As CNAs responsáveis pelo produto de cada CVE também costumam publicar as vulnerabilidades em seus próprios portais, com a descrição das falhas de segurança e das correções feitas.
Como ler identificadores e registros CVE
Cada vulnerabilidade registrada no programa CVE ganha um identificador (ID), que funciona como um rótulo para facilitar a identificação. Ao ler uma entrada CVE, você perceberá uma estrutura formada por três seções, separadas por hífen:
Prefixo “CVE”;
Ano de atribuição;
Identificador sequencial.
Como exemplo, a entrada CVE-2026-4452 indica que a vulnerabilidade ganhou um identificador (ID) em 2026. Já os números sequenciais “4452” servem para diferenciar uma vulnerabilidade da outra, evitando confusões de registros.
Além disso, os registros podem indicar três estados diferentes:
Reservado: CVE que ainda não foi divulgado, e que se encontra em análise;
Publicado: CVE já publicado por uma CNA, que inclui os dados do ID CVE.
Rejeitado: CVE rejeitado, indicando que a vulnerabilidade não é válida.
Ilustração de um CVE publicado (Imagem: Reprodução/CVE Program)
Quais são os benefícios do CVE?
O programa CVE traz diversas vantagens, especialmente para gerir e facilitar a identificação de vulnerabilidades na área de cibersegurança. Dentre os principais benefícios do programa, estão:
Padronização de vulnerabilidades: a padronização de vulnerabilidades com IDs CVE facilita a identificação das falhas, bem como a comunicação entre empresas, entidades e profissionais de segurança cibernética.
Gera dados para histórico: a listagem de falhas de segurança cria registros históricos de produtos, permitindo análises e pesquisas mais aprofundadas.
Transparência com os usuários: apesar de o CVE focar em fornecedoras e pesquisadores, a publicação gera mais transparência aos usuários que adquiriram o produto relacionado à vulnerabilidade.
Divulgação pública: qualquer pessoa pode acessar o banco de dados do CVE Program e visualizar as vulnerabilidades listadas.
Quais são as limitações do CVE?
O programa CVE também inclui limitações, como:
Foco na descrição da vulnerabilidade: o programa CVE lista apenas os IDs das vulnerabilidades e suas respectivas descrições, sem informações aprofundadas sobre a falha.
Não inclui correções: o CVE lista e identifica a vulnerabilidade, mas os passos para as correções são de responsabilidade das CNAs, que podem usar diferentes canais de comunicação.
Escopo não cobre tudo: apenas falhas enquadradas como “vulnerabilidades” de acordo com os parâmetros do CVE são incluídos no programa.
Qual é a diferença entre vulnerabilidade e exposição?
Vulnerabilidade diz respeito a uma fraqueza que pode ser explorada em condições específicas. Uma vulnerabilidade traz um potencial risco de exploração (exploit), mas não necessariamente será explorada.
Já a exposição surge quando existem condições necessárias para a exploração da vulnerabilidade. Em resumo, a exposição é uma combinação da vulnerabilidade e das condições necessárias para a exploração.
Como exemplo, imagine que uma pasta protegida com senha tenha uma falha de segurança que libere acessos para qualquer senha digitada com quatro dígitos. Nesse caso, trata-se de uma vulnerabilidade: há potencial para exploração, mas nem todos vão tentar uma senha de quatro dígitos e garantir acesso.
Agora se essa pasta estiver em um ambiente de fácil acesso ou se houver pistas que facilitem a descoberta da falha de segurança, ocorre o que chamamos de exposição da vulnerabilidade.
Qual é a diferença entre CVE e CVSS?
O Common Vulnerabilities and Exposures (CVE) é uma iniciativa que foca em identificar, padronizar e listar vulnerabilidades e exposições no campo de segurança cibernética. O programa, no entanto, não tem o papel de definir o nível de risco das falhas de segurança.
Já o Common Vulnerability Scoring System (CVSS) é um padrão utilizado para avaliar o nível de risco de uma vulnerabilidade. Trata-se de um esquema de pontuação que ajuda desenvolvedores a priorizarem correções de falhas de segurança mais críticas.
E apesar de focarem em aspectos diferentes, CVE e CVSS trabalham de forma conjunta em prol da resolução de vulnerabilidades.
Recentemente, três alunos de Ciência da Computação no Instituto de Ciências Matemáticas e de Computação da USP São Carlos criaram um chatbot para o combate de fake news online. O chamado “Tá Certo isso AI” analisa e verifica a veracidade das informações recebidas via mensagens pelo WhatsApp, independentemente do formato (texto, vídeo, áudio ou imagem).
O software foi desenvolvido por Cauê Paiva Lira, Luiz Felipe Costa e Pedro Henrique Silva, equipe vencedora do Programa AI4Good da Brazil Conference. Esse evento é uma conferência internacional que reúne brasileiros nos EUA — incluindo especialistas, líderes, estudantes e empreendedores — para debater e criar estratégias que enfrentem desafios tecnológicos, políticos e socioeconômicos do país.
O evento ocorrerá presencialmente na Universidade Harvard e no Instituto de Tecnologia de Massachusetts (MIT), nos dias 27, 28 e 29 de março.
Para quem tem pressa:
Estudantes da USP São Carlos criaram um chatbot que analisa e verifica a veracidade das informações recebidas via WhatsApp, independentemente do formato (texto, vídeo, áudio ou imagem);
O software “Tá Certo Isso AI?” foi o vencedor do Programa AI4Good;
As informações analisadas pela ferramenta são checadas emmeios de comunicação consolidados, sites e portais institucionais e fontes especializadas na checagem de fatos. A ideia é que o bot não faça apenas uma apuração primária, mas que auxilie no processo de combate à desinformação.
Funcionamento do chatbot e curadoria de informações
O softwate “Tá Certo isso AI?” é público e pode ser acessado por qualquer pessoa de diferentes formas.
Na primeira forma, você pode adicionar o telefone 35 8424-8271 nos contatos da sua agenda do celular e salvá-lo. Em seguida, basta abrir uma conversa com este número no WhatsApp.
A segunda maneira é por meio do site oficial do projeto, clicando aqui. Ainda é possível adicionar a ferramenta a grupos de WhatsApp onde, após a adição, é possível marcar o bot com @ na informação que deseja confirmação.
Na análise, o chatbot busca a veracidade das informações em meios de comunicação consolidados, sites e portais institucionais, e fontes especializadas na checagem de fatos. Em entrevista ao Jornal da USP, um dos desenvolvedores do projeto, Luiz Felipe Diniz Costa, afirmou que a ideia é que o bot não faça apenas uma apuração primária.
“O bot não aceita qualquer fonte. Ele faz a checagem apenas em bases que já passaram por esse filtro de confiabilidade, o que reduz o risco de erro e aumenta a qualidade das respostas”, afirmou Luiz Felipe Costa, um dos idealizadores do projeto.
Jovem interage com diversas plataformas tecnológicas em seu celular – (Imagem criada por inteligência artificial (ChatGPT / Olhar Digital)
O “Tá Certo Isso AI?” começou com a participação dos estudantes no Hackathon 2025, uma maratona de programação onde os alunos tiveram apenas 10 horas para esboçar a ferramenta e saíram vencedores. O tema era justamente “Soluções para mitigar o impacto das fake news na sociedade”.
A partir daí, Cauê afirmou que soube que o edital do AI4Good estava aberto e viu uma oportunidade para continuar o desenvolvimento do projeto. “Foram cerca de 170 grupos inscritos e apenas oito foram selecionados para participar do processo de monitoria e aceleração”, comentou um dos desenvolvedores.
Após a aprovação no processo, foram aproximadamente seis semanas para aprimorar o “Tá Certo isso AI?” e colocá-lo em vigor.
Para continuar o desenvolvimento da ferramenta, Luiz Costa analisou a proporção que o chatbot tem tomado e vê como uma oportunidade para investimentos no projeto:
Acreditamos que a visibilidade proporcionada pela Brazil Conference pode abrir caminho não apenas para colaborações com órgãos governamentais e veículos de comunicação, já que o enfrentamento à desinformação é um interesse comum a essas esferas, mas também para impulsionar nossas trajetórias profissionais, por meio do desenvolvimento de projetos com impacto social.
— Luiz Costa, um dos idealizadores do “Tá Certo isso AI?”
Apesar de a tarefa de tomar decisões ser um dos principais papéis de um líder, o assunto é, muitas vezes, negligenciado em meio às inúmeras conversas sobre os atributos e missões da liderança. É discutível que a enorme quantidade de informação disponível para o executivo moderno tenha tornado o ato de tomar uma decisão mais difícil do que fácil. No entanto, isso não deve continuar a ser um obstáculo. Nesse sentido, há uma visão crescente de que a inteligência artificial poderia ter um efeito benigno, apesar de ser amplamente vista como o fim de toda uma gama de empregos.
VEJA TAMBÉM: Como utilizar a inteligência artificial para apoiar o trabalho humano
Como já publicado pela FORBES, um novo livro - “Prediction Machines” (algo como “Máquinas de Previsão”, em tradução livre), de Ajay Agrawal, Joshua Gans e Avi Goldfarb, da Universidade de Toronto - sugere que o poder da IA reside na sua capacidade de reduzir o custo da previsão, dando aos profissionais maior certeza - uma mercadoria inestimável em um momento em que há um consenso geral de que a volatilidade e a incerteza estão entre as forças dominantes no atual clima de negócios. De fato, o potencial desta tecnologia para desvendar os segredos nas quantidades cada vez maiores de dados que estão sendo coletados pode ajudar a transformar uma parte específica e importante do negócio - previsão e planejamento.
Na vanguarda dessa revolução está a Anaplan, fundada em 2006 por Michael Gould, no celeiro de uma propriedade em Yorkshire. O fundador estava convencido de que havia uma maneira melhor de fornecer às empresas as ferramentas de previsão de que precisava. Usando a nuvem para permitir que as unidades de negócios colaborassem de forma mais eficaz, a Anaplan reuniu rapidamente uma lista de clientes renomados, como a Coca-Cola, a seguradora RSA e o braço farmacêutico da Johnson & Johnson.
Estas companhias contaram suas histórias em uma conferência - que parecia mais uma manifestação religiosa do que um evento de negócios convencional - realizada em Londres no início deste verão europeu. O executivo-chefe Frank Calderoni deu o tom dizendo: "O planejamento, da forma como conhecemos, está morto". Ao salientar que empresas de todos os setores estavam sendo prejudicadas por novos participantes, que em geral eram muito mais ágeis do que as atuais, acrescentou: “O grande ponto quando se fala em disrupção é a necessidade de uma tomada urgente de decisões.” Ao reconhecer que ainda há uma lacuna entre o planejamento e a tomada de decisão, Calderoni falou com confiança em levar essa diferença a zero.
Dado o valor deste objetivo, não é de surpreender que, apesar de todo o seu sucesso frente a empresas de software muito mais conhecidas, a Anaplan não seja a única. A consultoria Accenture, por exemplo, recebeu recentemente uma patente norte-americana para sua plataforma ZBx, que usa IA e aprendizado de máquina para categorizar rapidamente transações financeiras e, assim, analisar gastos instantaneamente. David Axson, diretor-gerente da Accenture Strategy e especialista de longa data no papel das finanças nos negócios, vê os avanços na tecnologia e o crescimento do ZBx, como a criação de um "momento mais estimulante para atuar em finanças". Entrevistado no início deste mês, ele disse: "É a libertação do profissional da tirania das planilhas".
E AINDA: Inteligência artificial: previsões para 2018
Mas não é apenas o caso de colocar uma mola no caminho dos especialistas e planejadores financeiros, que podem passar mais da metade do seu tempo dedicados a reunir informações para estudar e avaliar as implicações de diferentes cenários. As empresas já estabelecidas que estão sob ameaça de novos players, de repente, têm a chance de se transformar, simplesmente porque têm muito mais dados sobre as diferentes partes de seus negócios para analisar e, então, agir. Como diz Naomi Hudson, colega de Axson na Accenture Strategy, “melhorias incrementais não são mais suficientes” e pouquíssimas empresas não tentaram mudar seus padrões e, muitas vezes, suas cadeias de suprimentos de uma forma ou de outra.
Graças ao big data e à capacidade crescente da inteligência artificial de peneirar as pistas que permitem a profissionais qualificados fornecer insights que, por sua vez, podem levar a decisões melhores e mais rápidas, a Holy Grail, fabricante de produtos pessoais, deixou de ser capaz de fechar os livros apenas quando o período de negociação terminasse para ter acesso instantâneo a contas de gerenciamento que dizem muito sobre a saúde da empresa. Isso significa que ela tem tempo hábil para que o profissional tome decisões de efeito - o que Avi Goldfarb e seus colegas autores de “Prediction Machines” chamam de julgamento.
Na opinião de Axson, da Accenture, o valor do tempo extra é semelhante ao da luz no painel do carro avisando que o combustível está acabando. Se a luz acender quando ainda há combustível para 100 quilômetros, é muito mais útil do que se ela surgir quando houver apenas o suficiente para 10, diz ele.
Entrar
