O Codex Security da OpenAI verificou 1,2 milhão de commits e encontrou 10.561 vulnerabilidades de alta gravidade – redefinindo a aparência da conformidade automatizada. O CTO do Pentágono entrou em confronto público com a Antrópico sobre a guerra autônoma e a política de armas de IA. A Transparent Tribe, ligada ao Paquistão, produz malware gerado em massa por IA em vários idiomas. Entretanto, a comunicação de riscos de TIC da DORA entra numa fase crítica de conformidade e os requisitos da cadeia de abastecimento NIS2 estão a tornar-se mais rigorosos em todos os estados membros da UE. Aqui está o que as equipes de conformidade precisam saber nesta manhã de domingo.
OpenAI lançou Codex Securityon março 7, an AI-powered security agent that scanned 1.2 million commits across open-source repositories during its beta period, identifying792 crítico e 10.561 de alta gravidade descobertas — incluindo novos CVEs em OpenSSH, GnuTLS, GOGS, PHP e Chromium.
O Codex Security opera em três fases: analisa a estrutura do repositório para construir um modelo de ameaça relevante para a segurança, identifica vulnerabilidades baseadas no contexto do sistema e, em seguida, testa as descobertas em um ambiente de área restrita para validá-las antes de apresentar os resultados. As taxas de falsos positivos caíram mais de 50% durante a versão beta.
Isto representa uma mudança de paradigma para estruturas de conformidade que exigem gerenciamento de vulnerabilidades:
| Projeto | CVE | Impacto |
|---|---|---|
| GnuPG | CVE-2026-24881, CVE-2026-24882 | Comprometimento das operações criptográficas |
| GnuTLS | CVE-2025-32988, CVE-2025-32989 | Falhas na implementação do TLS |
| GOGS | CVE-2025-64175, CVE-2026-25242 | Exploração da plataforma de alojamento Git |
| Tório | 7 CVE (CVE-2025-35430 a 35436) | Software para infraestruturas nucleares/críticas |
As organizações sujeitas a NIS2, DORA ou regulamentações específicas do setor devem avaliar agora as ferramentas de verificação de vulnerabilidades alimentadas por IA. À medida que estas ferramentas se tornam amplamente disponíveis, os reguladores considerarão cada vez mais insuficiente a gestão de vulnerabilidades apenas manual. A exigência de “medidas técnicas apropriadas” está a aumentar.
Diretor de Tecnologia do Pentágono Emil Michael divulgou publicamente que entrou em conflito com empresa de IA Antrópico sobre capacidades de guerra autônoma. Os militares estão a desenvolver procedimentos para permitir diferentes níveis de autonomia na guerra, dependendo dos níveis de risco.
Este confronto expõe a lacuna regulamentar fundamental entre a implantação da IA militar e os quadros de governação da IA civil:
A Lei da UE sobre IA exclui explicitamente do seu âmbito de aplicação as aplicações militares e de segurança nacional (artigo 2.º, n.º 3). No entanto, este confronto coloca em evidência questões críticas:
Grupo de ameaça alinhado ao Paquistão Tribo Transparente está usando ferramentas de codificação de IA para produzir implantes de malware em massa em Nim, Zig e Crystal – linguagens menos conhecidas projetadas para evitar a detecção. Os pesquisadores da Bitdefender chamam isso de “industrialização de malware assistida por IA” e cunharam o termo "vibeware" para malware gerado por IA.
Este desenvolvimento cria desafios sem precedentes para todos os principais quadros de conformidade:
Simultaneamente, a Microsoft informou que os hackers estão abusando da IA em todas as fases dos ataques cibernéticos — do reconhecimento e da engenharia social à exploração de atividades de desenvolvimento e pós-compromisso. Esta mudança sistémica do uso indevido isolado da IA para a integração completa da IA na cadeia de ataque exige uma resposta regulamentar ao nível do enquadramento.
As of março 2026, theLei de Resiliência Operacional Digital (DORA) está plenamente em vigor para as entidades financeiras da UE. Os requisitos do quadro de gestão do risco de TIC nos termos dos artigos 5.º a 16.º estão agora sujeitos a revisão de supervisão, com as Autoridades Europeias de Supervisão (ESAs) a avaliar ativamente a conformidade.
| Requisito DORA | Estado | Ação necessária |
|---|---|---|
| Quadro de gestão dos riscos das TIC (artigos 5.º a 16.º) | 🔴 Aplicação ativa | Documentação completa da estrutura e aprovação pelo conselho |
| Comunicação de incidentes de TIC (Art. 17-23) | 🔴 Aplicação ativa | Estabelecer canais de comunicação às autoridades competentes dentro dos prazos prescritos |
| Teste de resiliência operacional digital (Art. 24-27) | 🟡 Período de introdução | Implementar testes básicos; TLPT avançado para entidades sistemicamente importantes |
| Risco de TIC de terceiros (Art. 28-44) | 🟡 Fase de avaliação | Mapear todos os prestadores de serviços críticos de TIC; iniciar revisões contratuais |
| Compartilhamento de informações (Art. 45.º) | 🟢 Voluntário | Ponderar aderir a acordos de partilha de informações sobre ameaças |
Os desenvolvimentos desta semana – especialmente os agentes de segurança de IA (Codex Security) e as ameaças geradas por IA (Transparent Tribe) – criam um duplo desafio para as entidades financeiras: devem avaliar a conformidade das ferramentas alimentadas por IA e, ao mesmo tempo, defender-se contra ameaças alimentadas por IA. A abordagem tecnologicamente neutra da DORA significa que os supervisores avaliarão o resultado da gestão de riscos, não das ferramentas específicas utilizadas — mas o padrão de atendimento está implicitamente aumentando.
Vários desenvolvimentos esta semana reforçam o alcance crescente dos requisitos da cadeia de abastecimento NIS2:
The ongoing FBI investigation into a breach of its surveillance data system (first reported março 7) continues to raise questions about government system security. For EU organizations, this incident serves as a reminder thatNIS2 Artigo 21.º, n.º 2, alínea d) exige medidas de segurança da cadeia de abastecimento que tenham em conta as vulnerabilidades nas relações com fornecedores diretos – incluindo sistemas governamentais e de partilha de informações.
Iranian threat actors have been confirmed inside networks of a U.S. airport, bank, and software company since at least fevereiro 2026. Under NIS2, EU entities with U.S. supply chain dependencies must assess whether their American partners' compromised status affects their own risk posture.
Uma vulnerabilidade da Rockwell Automation divulgada em 2021 está agora sendo ativamente explorada em ataques direcionados a sistemas de controle industrial. Este intervalo de cinco anos entre a divulgação e a exploração destaca a razão pela qual os requisitos de tratamento de vulnerabilidades do NIS2 ao abrigo do Artigo 21 exigem monitorização contínua – e não apenas correção inicial.
| Data | Enquadramento | Marco |
|---|---|---|
| 11 de março de 2026 | Atualização terça-feira | Microsoft março 2026 Patch Tuesday — expect critical patches; forecast warns "AI security may be an oxymoron" |
| 2 de maio de 2026 | Lei da UE sobre IA | As obrigações de transparência do modelo GPAI entram em vigor — os fornecedores devem documentar as medidas de cibersegurança |
| 2 de agosto de 2026 | Lei da UE sobre IA | Os requisitos do sistema de IA de risco elevado tornam-se aplicáveis (artigos 6.º a 49.º) |
| 17 de outubro de 2026 | NIS2 | Prazo de transposição para os Estados-Membros — todos os 27 países da UE devem incluir a NIS2 na legislação nacional |
| 17 de janeiro de 2027 | DORA | Quadro crítico de supervisão de prestadores terceiros de TIC totalmente operacional |
A verificação de segurança automatizada da KENSAI ajuda você a atender aos requisitos de conformidade NIS2, DORA e EU AI Act com avaliação contínua de vulnerabilidades em toda a sua superfície de ataque.
Inicie a verificação de segurança gratuita →8 de março de 2026
Fontes: The Hacker News, SecurityWeek, BleepingComputer, Help Net Security, Bitdefender, Microsoft, OpenAI, CISA