Durante décadas, a internet funcionou com um contrato implícito de segurança chamado divulgação coordenada. O pesquisador encontra uma falha, avisa o fabricante, o fabricante corrige, e só então a falha é tornada pública. O processo inteiro levava em média 90 dias — tempo suficiente para que patches chegassem aos servidores antes que os atacantes soubessem o que procurar.
Esse contrato está sendo quebrado em 2026. E a razão é a inteligência artificial.
Conteúdo
O que aconteceu com o Copy Fail
Em 29 de abril de 2026, foi divulgada uma falha crítica no kernel Linux chamada Copy Fail (CVE-2026-31431). Com um script Python de 732 bytes, qualquer usuário sem privilégios conseguia acesso root em praticamente qualquer servidor Linux construído desde 2017 — Ubuntu, Amazon Linux, RHEL, AlmaLinux, Fedora.
O que tornou essa falha diferente não foi a gravidade. Foi como ela foi encontrada.
A empresa de segurança Theori, ao descrever a descoberta, disse que o sistema deles precisou de aproximadamente uma hora de varredura automatizada com IA no subsistema de criptografia do kernel Linux. Um único prompt. Sem necessidade de engenharia manual de exploits. Sem harnessing.
Uma hora. Para encontrar uma falha que existia há 9 anos no kernel mais usado do mundo.
E então veio o Dirty Frag
Oito dias depois do Copy Fail, em 7 de maio, o pesquisador Hyunwoo Kim divulgou o Dirty Frag (CVE-2026-43284 + CVE-2026-43500). Mesma classe de bug, caminho de ataque diferente. Usuário sem privilégios consegue root de forma determinística em todas as principais distribuições Linux.
Mas o que o Dirty Frag revelou vai além da vulnerabilidade em si.
Hyunwoo Kim reportou a falha ao Linux Security Team em 29-30 de abril. Uma janela de embargo de 5 dias foi acordada. Os patches foram commitados no repositório público enquanto as distribuições preparavam os pacotes.
Nove horas depois do commit público, Kuan-Ting Chen — um pesquisador completamente independente — descobriu a mesma vulnerabilidade analisando o diff. Não por acaso: ele estava usando ferramentas de varredura assistida por IA que analisam automaticamente commits públicos em busca de padrões de correção de segurança.
O embargo foi efetivamente quebrado antes de terminar.
O tempo entre descoberta e exploração chegou a 10 horas
Essa não é uma anomalia de maio de 2026. É uma tendência em aceleração.
Em 2024, o tempo médio entre a publicação de um CVE e a existência de um exploit funcional era de 56 dias. Em 2025, caiu para 23 dias. No acumulado de 2026, está em torno de 10 horas — analisando mais de 3.500 pares CVE-exploit do catálogo da CISA, do VulnCheck e do ExploitDB.
Uma CVE publicada hoje pode ter exploit funcional antes do fim do dia.
Um exemplo concreto: em 21 de abril de 2026, o GitHub publicou o GHSA-6w67-hwm5-92mq (CVE-2026-33626), uma falha de SSRF no LMDeploy. Doze horas e trinta e um minutos depois, a equipe de pesquisa da Sysdig registrou a primeira tentativa de exploração em seus honeypots. O atacante não apenas verificou a falha — em oito minutos de sessão, já estava varrendo a rede interna por trás do servidor comprometido: AWS IMDS, Redis, MySQL, endpoint DNS de exfiltração.
Por que a divulgação coordenada está falhando agora
O sistema de divulgação coordenada foi construído sobre uma suposição: encontrar uma vulnerabilidade grave é caro e raro, então o número de pessoas capazes de fazê-lo era limitado.
Essa suposição não é mais verdadeira.
Ferramentas de IA com acesso à base de código pública do Linux, ao histórico de commits e aos boletins de segurança conseguem varrer subsistemas inteiros em busca de padrões de vulnerabilidade em horas. Pesquisadores independentes ao redor do mundo alimentam esses modelos com os mesmos diffs. O que antes exigia semanas de análise manual por um especialista sênior agora exige um prompt bem elaborado.
O resultado é o que a LWN.net descreveu como “descoberta paralela dentro da janela de embargo” — múltiplos pesquisadores e grupos encontrando a mesma falha de forma independente enquanto o embargo ainda está ativo. A informação não fica mais contida. Como descreveu o pesquisador Himanshu Anand: “ela tem pernas movidas a LLM”.
O que isso significa para quem tem um site hospedado
Para a maioria dos donos de site, esse contexto técnico parece distante. Mas as consequências são diretas.
Patches precisam ser aplicados em horas, não em dias. A janela de segurança entre a divulgação de uma vulnerabilidade e a existência de exploit funcional não é mais de semanas — é de horas. Servidores que esperam janelas de manutenção mensais para aplicar patches estão, na prática, deixando uma porta aberta.
A falha não precisa ser descoberta contra você diretamente. O CVE-2026-41940 do cPanel, por exemplo, estava sendo explorado desde fevereiro de 2026 — dois meses antes de qualquer patch existir. Atacantes com acesso a ferramentas de IA encontraram a falha antes do fabricante saber que ela existia.
Hospedagem compartilhada amplifica o risco. Em um servidor com múltiplos clientes, uma falha de escalonamento de privilégios como o Copy Fail ou o Dirty Frag significa que qualquer conta comprometida pode afetar todos os outros sites no mesmo servidor. A qualidade da isolação e a velocidade de patching da sua hospedagem importam mais do que nunca.
Como a Homehost responde a esse novo cenário
A Homehost acompanha continuamente os principais canais de divulgação de vulnerabilidades — LWN.net, Bugcrowd, CISA KEV, alertas das distribuições Linux — e aplica patches de segurança críticos assim que os pacotes estabilizados ficam disponíveis nas distribuições utilizadas em nossa infraestrutura.
Durante os eventos de Copy Fail e Dirty Frag, nossa equipe aplicou os kernels corrigidos e reiniciou os servidores afetados dentro das primeiras horas após a disponibilidade dos patches estabilizados para AlmaLinux e CloudLinux. Para servidores com KernelCare, o livepatch foi aplicado sem interrupção de serviço.
Nossa infraestrutura é construída sobre CloudLinux com CageFS — o que significa que cada conta de hospedagem opera em um ambiente isolado. Mesmo em um cenário de comprometimento de conta, a isolação impede o movimento lateral para outras contas no mesmo servidor.
O que você pode fazer
1. Verifique se sua hospedagem aplica patches ativamente Pergunte diretamente ao seu provedor de hospedagem quando os patches do Copy Fail e do Dirty Frag foram aplicados. Um provedor sério responde com data e hora. Um provedor que não sabe ou demora para responder é um sinal de alerta.
2. Mantenha o software da aplicação atualizado Patches de kernel são responsabilidade do provedor. Mas plugins desatualizados, temas e o próprio WordPress são responsabilidade sua. O CVE-2026-23550 no plugin Modular DS — exploração ativa com CVSS 10.0 — chegou em servidores perfeitamente patcheados porque o plugin do cliente estava desatualizado.
3. Use autenticação forte no painel de controle O backdoor identificado pela XLab no CVE-2026-41940 adulterava a página de login do cPanel para roubar senhas. Autenticação de dois fatores no cPanel e no painel da sua hospedagem elimina esse vetor.
4. Ative notificações de segurança O CISA mantém um catálogo público de vulnerabilidades ativamente exploradas em cisa.gov/known-exploited-vulnerabilities-catalog. Assinar as notificações por e-mail leva dois minutos e garante que você soube da vulnerabilidade no mesmo dia que os atacantes.
A mudança estrutural
O que está acontecendo em 2026 não é uma tempestade passageira de CVEs. É uma mudança estrutural permanente na velocidade da segurança ofensiva.
As ferramentas que encontraram o Copy Fail em uma hora existem, são acessíveis e melhoram a cada mês. O número de pessoas capazes de usá-las cresce continuamente. A suposição que sustentava a divulgação coordenada — de que vulnerabilidades graves são raras e caras de descobrir — não volta a ser verdadeira.
Para quem tem um site na internet, a consequência prática é simples: a qualidade da segurança da sua hospedagem importa mais em 2026 do que importava em 2020. Não porque os ataques ficaram mais sofisticados — mas porque ficaram mais rápidos.
Fontes
- LWN.net — LLM-driven security reports disrupt coordinated disclosure: https://lwn.net/Articles/1070698/
- Bugcrowd — What we know about Copy Fail (CVE-2026-31431): https://www.bugcrowd.com/blog/what-we-know-about-copy-fail-cve-2026-31431/
- Himanshu Anand / Threat Notes — The 90-day disclosure policy is dead: https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/
- Sysdig — CVE-2026-33626: How attackers exploited LMDeploy in 12 hours: https://webflow.sysdig.com/blog/cve-2026-33626-how-attackers-exploited-lmdeploy-llm-inference-engines-in-12-hours
- The Hacker News — cPanel CVE-2026-41940 Under Active Exploitation to Deploy Filemanager Backdoor: https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html
- TechPlanet — AI is Breaking Vulnerability Disclosure: https://techplanet.today/post/ai-is-breaking-vulnerability-disclosure-how-llms-are-disrupting-security-culture
A Homehost oferece hospedagem de sites com infraestrutura CloudLinux, isolamento CageFS e monitoramento contínuo de segurança. Nossos servidores são atualizados ativamente assim que correções estabilizadas ficam disponíveis para as vulnerabilidades críticas. Conheça nossos planos de hospedagem.
