Capital One lança VulnHunter, ferramenta de IA open source que detecta vulnerabilidades pensando como um hacker
A gigante financeira Capital One lançou uma ferramenta de segurança cibernética baseada em agentes de IA, visando ajudar desenvolvedores a encontrar e corrigir vulnerabilidades no código com mais precisão.
A Capital One lançou o "VulnHunter", uma ferramenta open source de segurança de software impulsionada por Agentic AI, projetada para aprimorar a detecção de vulnerabilidades em códigos-fonte.
O grande diferencial do VulnHunter em relação às ferramentas tradicionais de SAST (Static Application Security Testing) é a abordagem "Attacker-First Forward Analysis". Em vez de apenas varrer o código em busca de padrões suspeitos, o VulnHunter parte de pontos de acesso reais, como APIs ou interfaces de rede, simulando caminhos de ataque para verificar se uma vulnerabilidade é explorável na prática. Isso reduz drasticamente a quantidade de alertas irrelevantes.
Além disso, o VulnHunter conta com um "Falsification Engine", que atua como um verificador de segunda instância. Ele tenta refutar os resultados encontrados antes de emitir um alerta, filtrando os chamados "falsos positivos" — um problema comum em ferramentas antigas. O sistema também sugere formas precisas de correção.
O VulnHunter foi desenhado para operar com modelos de linguagem avançados (LLMs), como o Claude Opus. Ao abrir o código no GitHub, a Capital One busca fomentar uma colaboração com a comunidade global de desenvolvedores para evoluir a ferramenta e torná-la um padrão de mercado.
O lançamento do VulnHunter sinaliza uma mudança na segurança de software, focando em simular ataques reais em vez de apenas buscar padrões estáticos. A natureza open source democratiza o acesso a ferramentas de nível empresarial para desenvolvedores de todos os portes.