← Home

Capital One libera VulnHunter: ferramenta de IA que encontra falhas de software antes dos hackers

Como era

Ferramentas de segurança de código existem há décadas: SAST (análise estática), DAST (análise dinâmica), e scanners de dependências. Todas compartilham o mesmo problema — geram listas intermináveis de falsos positivos que equipes de segurança ignoram. Um desenvolvedor experiente aprendeu a filtrar 90% dos alertas como ruído.

O que mudou

A Capital One open-sourcou o VulnHunter, uma ferramenta que usa IA agentiva para encontrar vulnerabilidades em código. Diferente de scanners tradicionais, o VulnHunter não apenas aponta o possível problema — ele analisa o contexto, entende o fluxo de dados, e prioriza alertas que realmente representam risco explorável. A VentureBeat noticiou que a ferramenta já identificou vulnerabilidades críticas no pipeline interno da Capital One que scanners convencionais perderam.

Impacto

A aposta aqui é que o VulnHunter representa uma mudança de paradigma: pela primeira vez, uma ferramenta de segurança open-source de um grande banco compete com soluções comerciais caras. Se bancos concorrentes adotarem o VulnHunter, o setor de segurança de aplicações pode ver uma consolidação — startups de DAST/SAST vão precisar se diferenciar rápido. O risco é o mesmo de toda IA generativa em segurança: falsos negativos que dão uma falsa sensação de segurança.

Próximo capítulo

A adoção pelo mercado de código aberto (não só bancos) vai determinar se o VulnHunter vira padrão ou mais uma ferramenta no esquecimento do GitHub. A Capital One precisa demonstrar commits ativos e resposta a issues para construir comunidade.

Fonte: VentureBeat