Durante a Operação Lunar Peek em novembro de 2024, os invasores obtiveram acesso de administrador remoto não autenticado — e eventual root — em mais de 13.000 interfaces de gerenciamento expostas da Palo Alto Networks. Palo Alto Networks pontuou CVE-2024-0012 em 9,3 e CVE-2024-9474 em 6,9 no CVSS v4.0. O NVD pontuou o mesmo par 9,8 e 7,2 no CVSS v3.1. Dois sistemas de pontuação. Duas respostas diferentes para as mesmas vulnerabilidades. O 6,9 caiu abaixo dos limites do patch. O acesso de administrador parecia necessário. O 9.3 ficou na fila para manutenção. A segmentação seria válida. "Os adversários contornam (classificações de gravidade) encadeando vulnerabilidades," Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, disse ao VentureBeat em uma entrevista exclusiva em 22 de abril de 2026. Sobre a lógica de triagem que perdeu a cadeia: "Eles tiveram amnésia 30 segundos antes." Ambos os CVEs estão no catálogo de vulnerabilidades conhecidas exploradas da CISA. Nenhuma das pontuações sinalizou a cadeia de mortes. A lógica de triagem que consumiu essas pontuações tratou cada CVE como um evento isolado, assim como os painéis de SLA e os relatórios do conselho que alimentam esses painéis. O CVSS fez exatamente o que foi projetado para fazer. Pontue uma vulnerabilidade de cada vez. O problema é que os adversários não atacam uma vulnerabilidade de cada vez. "As pontuações básicas do CVSS são medidas teóricas de gravidade que ignoram o contexto do mundo real," escreveu Peter Chronis, ex-CISO da Paramount e líder de segurança com experiência na Fortune 100. Ao ir além da priorização CVSS na Paramount, a Chronis relatou uma redução de vulnerabilidades críticas e de alto risco acionáveis ​​em 90%. Chris Gibson, diretor executivo da FIRST, a organização que mantém o CVSS, foi igualmente direto: usar apenas as pontuações básicas do CVSS para priorização é "o menos adequado e preciso" método, Gibson disse ao The Register. O próprio modelo de decisão EPSS da FIRST e SSVC da CISA abordam parte dessa lacuna adicionando probabilidade de exploração e lógica de árvore de decisão. Cinco classes de falha de triagem que o CVSS nunca foi projetado para capturar Em 2025 foram divulgados 48.185 CVEs, um aumento de 20,6% em relação ao ano anterior. Jerry Gamblin, engenheiro principal da Cisco Threat Detection and Response, projeta 70.135 para 2026. A infraestrutura por trás das pontuações está cedendo sob esse peso. O NIST anunciou em 15 de abril que os envios de CVE cresceram 263% desde 2020, e o NVD agora priorizará o enriquecimento apenas para KEV e software crítico federal. 1. CVEs encadeados que parecem seguros até que não o sejam A dupla de Palo Alto da Operação Lunar Peek é o livro didático. CVE-2024-0012 ignorou a autenticação. CVE-2024-9474 privilégios escalados. Pontuada separadamente no CVSS v4.0 e v3.1, a falha de escalonamento foi filtrada abaixo da maioria dos limites de patch corporativo porque o acesso de administrador parecia necessário. O bypass de autenticação upstream eliminou totalmente esse pré-requisito. Nenhuma pontuação comunicou o efeito composto. Meyers descreveu a psicologia operacional: as equipes avaliaram cada CVE de forma independente, despriorizaram a pontuação mais baixa e colocaram a pontuação mais alta na fila para manutenção. 2. Adversários do Estado-nação que transformam patches em armas em poucos dias O Relatório de Ameaças Globais CrowdStrike 2026 documentou um aumento de 42% ano após ano nas vulnerabilidades exploradas como dia zero antes da divulgação pública. Tempo médio de interrupção nas intrusões observadas: 29 minutos. Fuga mais rápida observada: 27 segundos. Os adversários do nexo da China transformaram em armas as vulnerabilidades recém-corrigidas dois a seis dias após a divulgação. "Antes era Patch Tuesday uma vez por mês. Agora é patch todos os dias, o tempo todo. É assim que este novo mundo se parece," disse Daniel Bernard, diretor de negócios da CrowdStrike. Uma adição de KEV tratada como um item de fila de rotina na terça-feira torna-se uma janela de exploração ativa na quinta-feira. 3. CVEs armazenados que os atores do Estado-nação mantêm há anos Salt Typhoon acessou as comunicações de figuras políticas importantes dos EUA durante a transição presidencial, encadeando CVE-2023-20198 com CVE-2023-20273 em dispositivos Cisco voltados para a Internet, um par de escalonamento de privilégios corrigido em outubro de 2023 e ainda não aplicado mais de um ano depois. As credenciais comprometidas forneceram um vetor de entrada paralelo. Os patches existiam. Nenhum dos dois foi aplicado. Sessenta e sete por cento das vulnerabilidades exploradas por adversários do nexo da China em 2025 foram falhas de execução remota de código que fornecem acesso imediato ao sistema, de acordo com o Relatório de Ameaças Globais CrowdStrike 2026. O CVSS não degrada a prioridade com base no tempo que um CVE ficou sem correção. Nenhuma métrica do conselho rastreia a exposição ao envelhecimento do KEV. Esse silêncio é a vulnerabilidade. 4. Lacunas de identidade que nunca entram no sistema de pontuação Uma chamada de engenharia social de suporte técnico em 2023 contra uma grande empresa produziu mais de US$ 100 milhões em perdas. Nenhum CVE foi atribuído. Nenhuma pontuação CVSS existia. Nenhuma entrada de pipeline de patch foi criada. A vulnerabilidade era uma lacuna no processo humano na verificação de identidade, totalmente fora da abertura do sistema de pontuação. "Um profissional precisa de um dia zero se tudo que você precisa fazer é ligar para o suporte técnico e dizer que esqueci minha senha," disse Meyers. Os sistemas Agentic AI agora carregam suas próprias credenciais de identidade, tokens de API e escopos de permissão, operando fora da governança tradicional de gerenciamento de vulnerabilidades. Merritt Baer, ​​CSO da Enkrypt AI, argumentou oficialmente que os controles de superfície de identidade são equivalentes de vulnerabilidade pertencentes ao mesmo pipeline de relatórios que os CVEs de software. Na maioria das organizações, as lacunas de autenticação do suporte técnico e os inventários de credenciais de IA dos agentes vivem em um silo de governança separado. Na prática, a governança de ninguém. 5. Descoberta acelerada por IA que quebra a capacidade do pipeline O Claude Mythos Preview da Anthropic

Ouça o artigo 4 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Resumo de mergulho: A Home

Por várias semanas, um coro crescente de desenvolvedores e usuários avançados de IA alegaram que os principais modelos da Anthropic estavam perdendo sua

OpenAI introduced a new paradigm and product today that is likely to have huge implications for enterprises seeking to adopt and control fleets

Ouça o artigo 4 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Resumo de mergulho: A Adobe

Google on Monday unveiled the most significant upgrade to its autonomous research agent capabilities since the product's debut, launching two new agents —

Ouça o artigo 5 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. A Green Mountain Coffee Roasters

No ano passado, os primeiros a adotar agentes autônomos de IA foram forçados a jogar um obscuro jogo de azar: manter o agente

A Anthropic lançou hoje o Claude Design, um novo produto de sua divisão Anthropic Labs que permite aos usuários criar trabalhos visuais sofisticados