Resumo:
- Um mesmo Pentest realizado manualmente pela Vantico e com ferramenta de IA chegou a resultados completamente distintos.
- O Pentest com IA não foi capaz de identificar uma única vulnerabilidade.
- O Pentest Manual da Vantico encontrou 21 vulnerabilidades.
- A IA não conseguiu entender o contexto da aplicação.
- A Vantico conseguiu escalar falhas encontradas e verificar que seu potencial de exploração era ainda maior do que o inicialmente esperado.
- A IA pode, sim, auxiliar em um Pentest com eficiência, escalabilidade e velocidade, mas deve ser usada com supervisão.
- Em um Pentest, a IA pode ser aplicada nas etapas de reconhecimento, triagem, automação de tarefas e redução de falsos positivos.
- Porém, a IA ainda não é capaz de: conectar falhas em cadeias de ataques reais; entender lógica de mercado; tomar decisões adequadas e éticas; entender processos de negócio, fluxos atípicos e exceções que tornam um vetor plausível ou não; encadear vulnerabilidades e converter pequenas falhas em impacto real; comunicar o time e o board sobre as falhas encontradas de forma clara e acessível.
- O olhar atento e estratégico de um pentester humano ainda é parte fundamental do teste.
- A IA deve fazer parte do Pentest em alguns momentos estratégicos, somente como uma ferramenta, um recurso.
- As IAs são limitadas, e seu uso pode levar a uma falsa sensação de segurança.
- Os profissionais continuam sendo essenciais para testes eficientes e confiáveis.
Pentest Manual x Pentest IA: qual é melhor?
Um único ativo.
Duas análises diferentes: um Pentest manual e um Pentest feito com IA.
Talvez seu impulso inicial seja pensar que a IA foi mais eficaz na descoberta de vulnerabilidades, justamente por ter acesso a inúmeras fontes de conhecimento e conseguir executar várias análises ao mesmo tempo.
Mas o resultado foi justamente o contrário: o Pentest com IA não identificou nenhuma vulnerabilidade, enquanto o tester humano encontrou 21 falhas.
Esse é um caso real que aconteceu aqui na Vantico.
Pentest IA é eficaz para encontrar vulnerabilidades?
Depende de inúmeros fatores, como o tipo de ativo, o contexto e até da própria IA.
Neste caso que mencionamos acima, o Pentest realizado com IA trouxe os seguintes resultados:
- Vulnerabilidades encontradas: 0
- Agentes usados: 70
- Ferramentas usadas: 1305
- Input Tokens: 91.1M
- Cached: 87.1M
- Output Tokens: 2.2M
Por outro lado, o Pentest da Vantico (executado manualmente por um profissional), obteve esses resultados:
- Vulnerabilidades encontradas: 21
- Vulnerabilidades críticas encontradas: 2
- Vulnerabilidades altas encontradas: 2
Essa diferença gigante aconteceu porque a IA não foi capaz de entender corretamente o contexto da aplicação.
Além disso, uma das vulnerabilidades encontradas foi, inicialmente, classificada como de nível médio, considerando os padrões do mercado.
Entretanto, ao continuar a exploração, foi possível escalar e aumentar seu risco em potencial, transformando-se em uma falha crítica.
Isso terá impacto direto na correção, pois vulnerabilidades mais severas ganham prioridade na correção e geram maior impacto em termos de proteção.
Resumindo: a IA pode até ser eficiente para executar algumas tarefas repetitivas e operacionais, otimizando algumas etapas, mas não consegue substituir um Pentest Manual, realizado por um humano.
Para que serve a IA em um Pentest?
A IA no Pentest pode contribuir para maximizar a eficiência, aumentando a velocidade e a escala.
Na prática, ela pode ser aplicada (com supervisão humana):
- Na etapa de reconhecimento, analisando grandes volumes de OSINT e telemetria, identificando ativos, dependências e superfícies de ataque com mais rapidez.
- Na etapa de triagem e priorização, classificando as descobertas por probabilidade de exploração e impacto esperado.
- Na redução de falsos positivos, correlacionando sinais e validando automaticamente evidências simples.
- Na automação de tarefas repetitivas e operacionais.
O Pentest deve ser feito 100% com IA?
Não, não deve.
A IA ainda não tem capacidade completa de:
- Conectar falhas em cadeias de ataques reais.
- Entender lógica de mercado.
- Tomar decisões adequadas e éticas.
- Entender processos de negócio, fluxos atípicos e exceções que tornam um vetor plausível ou não.
- Encadear vulnerabilidades e converter pequenas falhas em impacto real.
- Comunicar o time e o board sobre as falhas encontradas de forma clara e acessível.
Por isso, o papel do tester humano ainda é fundamental.
Como unir Pentest Manual e Tecnologia na prática?
Por meio do uso controlado e pontual.
Aqui na Vantico, por exemplo, autorizamos o uso de ferramentas somente para a realização de algumas tarefas específicas, enquanto a fase manual continua representando a maioria do teste.
Entretanto, a dependência total e o uso sem supervisão são um problema, porque:
- As IAs são limitadas.
- Não têm pensamento criativo, ético ou capaz de entender nuances de contexto.
- Sua base de dados pode não incluir vulnerabilidades zero-day.
Tudo isso leva o cliente a uma falsa sensação de segurança.
No caso que contamos no início deste artigo, por exemplo, o cliente poderia ter sido levado a crer que não havia uma vulnerabilidade sequer em seus sistemas (e esse claramente não era o caso).
Segurança eficiente exige o raciocínio humano e a velocidade das máquinas (IAs).
| Etapa | Pentest Manual | Inteligência Artificial (IA) |
| Planejamento e escopo | Conduzir entrevistas, validar escopo, priorizar ativos críticos | Templates de escopo, checklists automatizados, geração de planos iniciais |
| Reconhecimento | Interpretação de OSINT, validação de hipóteses | Crawlers, scanners de domínio, agregadores de OSINT, correlação por IA |
| Análise de vulnerabilidades | Investigação aprofundada das descobertas, verificar falsos positivos | Scanners automatizados, análise estática/dinâmica assistida por IA, priorização automática |
| Exploração ativa | Execução de exploração, criatividade em chaining de falhas, PoC manuais | Exploit frameworks, fuzzers assistidos por IA que sugerem payloads |
| Pós-exploração / Impacto | Modelagem de impacto, simulação de cadeias de ataque complexas | Ferramentas de pivoting, análise de logs assistida por IA para correlacionar atividades |
| Relatórios | Redação técnica, contextualização de risco para negócios, revisão final | Geração de rascunho de relatório por IA, sumarização automática, templates executivos |
| Reteste | Retestes manuais | Retestes automatizados |
| As ferramentas de Inteligência Artificial devem ser sempre monitoradas por um ou mais profissionais humanos. | ||
FAQ: Perguntas frequentes sobre Pentest Manual e Pentest com IA
Qual é o papel da IA em um Pentest?
A IA acelera tarefas repetitivas em algumas etapas do teste. Entretanto, a validação final, exploração criativa e decisões críticas continuam sendo trabalho humano.
A IA pode substituir Pentesters?
Não. A IA pode ser vista como um copiloto que auxilia o trabalho do piloto (tester).
A IA reduz o prazo e os custos de um Pentest?
Depende. Isso porque a IA é utilizada nos testes, mas humanos continuam tendo que revisar tudo e realizar as explorações propriamente ditas.
Como escolher um fornecedor que usa IA de forma responsável?
Procure transparência: parceiros que contenham cláusula de IA, que descrevam claramente como a ferramenta é utilizada, que possuam política de proteção de dados, etc.
Fale conosco e comece agora a construir seu programa de segurança com eficiência.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
