IA descobre 16 falhas no Windows: Microsoft promete mais atualizações de segurança

A Microsoft anunciou que os utilizadores do Windows devem esperar um aumento no volume de atualizações de segurança mensais, à medida que a empresa passa a depender crescentemente de inteligência artificial para detetar vulnerabilidades no seu código. O sistema de IA que está por detrás desta mudança — denominado MDASH — já identificou 16 falhas desconhecidas no Windows, quatro das quais classificadas como críticas por permitirem execução remota de código. O anúncio chega no mesmo momento em que a agência norte-americana de cibersegurança CISA revela que está a usar IA de outra empresa para auditar software governamental, sinalizando uma viragem estrutural na forma como vulnerabilidades são descobertas a nível global.

O que é o MDASH e como funciona

A Microsoft apresentou um novo sistema de descoberta de vulnerabilidades baseado em IA que identificou 16 falhas previamente desconhecidas no Windows, incluindo quatro falhas críticas de execução remota de código. O sistema, com o codinome MDASH, foi desenvolvido pela equipa de Segurança de Código Autónomo da Microsoft em conjunto com o grupo Windows Attack Research and Protection.

O MDASH — sigla para Microsoft Discovery and Assessment of Security Holes — é um sistema nativo da nuvem que aplica inteligência artificial para analisar código-fonte e binários do Windows à procura de potenciais vulnerabilidades. Ao contrário das ferramentas tradicionais de análise estática que dependem de regras predefinidas, o MDASH utiliza modelos de aprendizagem automática treinados em vastos conjuntos de dados de falhas de software conhecidas para identificar padrões suspeitos que revisores humanos ou scanners baseados em regras poderiam não detetar.

Central para o esforço é o multi-model agentic scanning harness da Microsoft Security, que combina múltiplos modelos de IA, incluindo ferramentas de descoberta de vulnerabilidades de terceiros, para analisar o código do Windows. A Microsoft construiu infraestrutura de nuvem dedicada para executar o MDASH à escala do Windows, usando uma linha de processamento em dois estágios em que um scanner revê binários críticos e valida candidatos através de debate multi-modelo entre diferentes famílias de modelos, antes de um pipeline específico para o Windows filtrar os falsos positivos, de modo a que apenas os resultados de alta confiança cheguem aos engenheiros.

O MDASH ajudou os investigadores a identificar 16 vulnerabilidades em componentes de rede e autenticação do Windows. Estas incluíam problemas no ficheiro tcpip.sys, parte da pilha de rede TCP/IP do Windows, e no IKEEXT, um serviço do Windows utilizado para troca de chaves de Internet e ligações IPsec. Quatro das falhas foram classificadas como Críticas por envolverem execução remota de código. A maioria das vulnerabilidades era acessível a partir de uma posição de rede sem credenciais, o que as torna mais graves do que problemas que exigem que um atacante já tenha acesso a uma máquina ou conta.

Em testes, o MDASH encontrou todas as 21 vulnerabilidades plantadas num controlador de teste privado com zero falsos positivos, e apresentou uma taxa de recuperação de 96% face a cinco anos de casos confirmados do Microsoft Security Response Center no ficheiro clfs.sys, e 100% no tcpip.sys. Num benchmark público composto por 1507 tarefas reais de reprodução de vulnerabilidades, o MDASH atingiu uma taxa de sucesso de 88,45%.

O impacto prático: mais atualizações, mais rapidez, supervisão humana mantida

As vulnerabilidades detetadas pelo MDASH foram corrigidas como parte da atualização Patch Tuesday de 12 de maio de 2026 da Microsoft. Mas o impacto desta abordagem vai muito além de um único ciclo de correções. A Microsoft afirma que o uso crescente de IA para a descoberta de vulnerabilidades significa que os clientes deverão ver mais atualizações de segurança para resolver vulnerabilidades recém-descobertas em cada lançamento mensal do Patch Tuesday. Como a IA está a trazer à superfície mais problemas, os clientes devem esperar um maior volume de CVEs por lançamento de segurança, o que é um sinal de melhor deteção e não de um declínio na postura de segurança.

A empresa afirma também que está a usar IA para ajudar os engenheiros a compreender falhas mais rapidamente, sugerir possíveis correções e identificar erros semelhantes noutras partes do código-fonte do Windows. No entanto, a Microsoft sublinha que os engenheiros humanos continuarão a supervisionar e rever todo o código proposto e a validar as correções antes de serem lançadas em produção.

A Microsoft anunciou ainda que está a atualizar as suas práticas do Ciclo de Desenvolvimento Seguro (SDL) para ter em conta as técnicas de ataque habilitadas por IA e para usar IA mais cedo no processo de desenvolvimento de software, de forma a identificar problemas de segurança antes de as funcionalidades serem lançadas. A Microsoft enquadra esta mudança como uma transição das organizações de uma abordagem de patching baseada no calendário para uma abordagem contínua e baseada no risco, em que a velocidade e a estabilidade são tratadas como objetivos complementares.

A IA como ferramenta ofensiva e defensiva: uma corrida em curso

A inteligência artificial não é utilizada apenas para encontrar e corrigir vulnerabilidades, mas também por atores de ameaças para alimentar os seus ataques e explorar falhas de zero-day antes de serem corrigidas. Este contexto de duplo uso é central para compreender a urgência com que tanto o setor privado como os governos estão a investir em sistemas de deteção por IA.

Especialistas falam já numa corrida de descoberta de vulnerabilidades por IA contra IA: as organizações vencedoras não serão as que tiverem os melhores scanners estáticos, mas sim as que conseguirem executar estes sistemas agênticos mais rapidamente no seu próprio código e remediar à velocidade das máquinas.

Paralelamente ao anúncio da Microsoft, a agência norte-americana de cibersegurança CISA está a usar o poderoso modelo de IA Mythos, da Anthropic, para analisar e auditar software do governo federal em busca de vulnerabilidades de segurança, com o objetivo de descobrir e corrigir proativamente falhas de segurança que de outro modo poderiam ser exploradas por agências de inteligência estrangeiras e criminosos informáticos. Dois fontes afirmaram que a iniciativa movida por IA já descobriu um “grande número” de vulnerabilidades de software. Este movimento, noticiado pela Reuters com base em três fontes, surge poucos dias antes do anúncio público da Microsoft sobre o MDASH, demonstrando que a tendência é transversal e acelerada.

A Anthropic afirmou anteriormente que o seu modelo Mythos Preview identificou milhares de vulnerabilidades de alta gravidade, incluindo uma falha com décadas no OpenBSD e um problema de longa data no FFmpeg que as ferramentas tradicionais de fuzzing não conseguiram descobrir apesar de milhões de tentativas.

Porque é que isto importa para Portugal e para as PME

A aceleração da descoberta de vulnerabilidades por IA tem implicações diretas para o tecido empresarial português. Em Portugal, o enquadramento legal da cibersegurança foi reforçado pelo Decreto-Lei 125/2025, que transpõe a Diretiva NIS2 para o ordenamento jurídico nacional, e pelo Regime Jurídico da Cibersegurança. Estas normas impõem às organizações de setores essenciais e importantes a obrigação de adotar medidas de gestão do risco cibernético, incluindo processos sistemáticos de identificação e correção de vulnerabilidades.

O facto de a Microsoft admitir que o volume mensal de CVEs vai aumentar tem consequências concretas para as equipas de TI e de segurança das organizações portuguesas: os ciclos de patching terão de ser mais frequentes e mais ágeis. O Windows Autopatch, agora com suporte de hotpatch através do Intune, pode acelerar as atualizações de segurança minimizando perturbações em dispositivos com Windows 11, e inclui um painel de conformidade e risco de segurança que dá aos administradores visibilidade ao nível do dispositivo sobre a exposição. Os servidores Windows podem ainda ser atualizados sem reinicialização através do Azure Arc, gerido pelo Azure Update Manager.

Para as PME, que muitas vezes gerem a segurança com recursos limitados, o aumento do volume de atualizações pode representar um desafio operacional. O Centro Nacional de Cibersegurança (CNCS) recomenda que as organizações mantenham políticas de atualização automatizada e priorizem patches classificados como críticos ou de alta gravidade — exatamente o tipo que o MDASH está a descobrir em maior número. No âmbito do RGPD, a falha na aplicação atempada de correções de segurança pode ainda configurar uma violação das obrigações de proteção de dados, com consequências ao nível das coimas e da notificação obrigatória à CNPD em caso de incidente.

Para os responsáveis de segurança, a implicação mais ampla pode ser que a gestão de vulnerabilidades está a transitar de uma análise periódica para uma descoberta e remediação contínuas, assistidas por IA. Esta mudança de paradigma exige que as organizações — independentemente da sua dimensão — revejam os seus processos de gestão de patches e invistam em ferramentas e processos que lhes permitam responder à cadência crescente de atualizações de segurança.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Microsoft, BleepingComputer, CSO Online, CyberPress, SecurityWeek e Reuters.