Como era
Ferramentas de segurança de código existem há décadas: SAST (análise estática), DAST (análise dinâmica), e scanners de dependências. Todas compartilham o mesmo problema — geram listas intermináveis de falsos positivos que equipes de segurança ignoram. Um desenvolvedor experiente aprendeu a filtrar 90% dos alertas como ruído.
O que mudou
A Capital One open-sourcou o VulnHunter, uma ferramenta que usa IA agentiva para encontrar vulnerabilidades em código. Diferente de scanners tradicionais, o VulnHunter não apenas aponta o possível problema — ele analisa o contexto, entende o fluxo de dados, e prioriza alertas que realmente representam risco explorável. A VentureBeat noticiou que a ferramenta já identificou vulnerabilidades críticas no pipeline interno da Capital One que scanners convencionais perderam.
Impacto
A aposta aqui é que o VulnHunter representa uma mudança de paradigma: pela primeira vez, uma ferramenta de segurança open-source de um grande banco compete com soluções comerciais caras. Se bancos concorrentes adotarem o VulnHunter, o setor de segurança de aplicações pode ver uma consolidação — startups de DAST/SAST vão precisar se diferenciar rápido. O risco é o mesmo de toda IA generativa em segurança: falsos negativos que dão uma falsa sensação de segurança.
Próximo capítulo
A adoção pelo mercado de código aberto (não só bancos) vai determinar se o VulnHunter vira padrão ou mais uma ferramenta no esquecimento do GitHub. A Capital One precisa demonstrar commits ativos e resposta a issues para construir comunidade.
Fonte: VentureBeat