Uma vulnerabilidade que levava dois anos para ser explorada em 2015 hoje é atacada em apenas 5 dias — e em alguns casos, o primeiro golpe começa 4 minutos depois de um invasor ganhar acesso a uma rede. Essa compressão brutal do tempo entre descoberta e exploração é o motor por trás de um dado que chamou atenção do mercado: as vagas em cibersegurança cresceram 11% no primeiro trimestre de 2026 em relação ao ano anterior, e recrutadores relatam que aberturas raras agora aparecem toda semana.
A corrida de velocidade entre ataque e defesa
Segundo dados da ViperX e da Vantico apresentados na RSA Conference 2025 e reportados pelo Canaltech, o intervalo entre a divulgação pública de uma falha e sua exploração ativa caiu de cerca de 2 anos para 44 dias em 2024 e para apenas 5 dias em 2025 — puxado por criminosos que usam IA para acelerar o desenvolvimento de exploits.
A mesma aceleração aparece do lado da execução do ataque. De acordo com a ReliaQuest, também via Canaltech, o tempo médio para um hacker iniciar um ataque após obter acesso caiu para 34 minutos em 2025 — 29% mais rápido que em 2024 — com o caso mais veloz registrado em apenas 4 minutos. Hoje, 80% dos grupos de ransomware já incorporam IA em suas operações.
Quando a própria IA de defesa vira notícia
O contraponto mais interessante não vem do lado do ataque. Pesquisadores da empresa de segurança Calif usaram o Claude Mythos, modelo da Anthropic voltado a cibersegurança, para encontrar em apenas 5 dias uma cadeia de duas falhas no macOS capaz de contornar o Memory Integrity Enforcement dos chips Apple mais recentes, segundo o MacMagazine. Ainda assim, o diretor da empresa foi direto: a IA “auxiliou, mas não substituiu” o conhecimento humano especializado.
Não é um caso isolado. A Anthropic restringiu o acesso ao Mythos a um grupo pequeno de parceiras — Apple, Amazon, Microsoft e Cisco — via o programa “Project Glasswing”, justamente para dar vantagem inicial aos times de defesa antes que o modelo caia em uso malicioso, conforme relatado também pelo MacMagazine. O modelo já havia identificado uma falha de 27 anos em um software não identificado e outra de 16 anos em um jogo eletrônico, sem ter sido desenhado especificamente para isso.
O problema não é falta de gente — é falta do skill certo
O discurso tradicional fala em escassez de mão de obra: um relatório da Fortinet chegou a apontar 750 mil vagas em aberto no Brasil frente a uma lacuna global de 4 milhões de profissionais. Mas o estudo mais recente da (ISC)², com recorde de 16.029 respondentes em dezembro de 2025, quebrou esse padrão: pela primeira vez, a organização não divulgou um número fechado de gap global.
O motivo é revelador — 88% das organizações já sofreram pelo menos uma consequência de segurança significativa por falta de competências específicas, não necessariamente por falta de headcount. Governança de IA, gestão de identidades de máquina e resposta a ataques agênticos são exemplos de habilidades que faltam mesmo em times já contratados.
Como as empresas devem se preparar para a nova era da cibersegurança
A Forrester prevê que uma implementação mal gerida de IA agêntica vai causar uma violação de dados pública ainda em 2026. O risco número um listado no OWASP Top 10 para Aplicações Agênticas é o “Agent Goal Hijacking” — o sequestro do objetivo de um agente de IA —, enquanto a CyberArk estima que já existem até 82 identidades de máquina para cada identidade humana dentro das empresas, segundo coluna publicada no Canaltech. Diante desse cenário, três frentes se tornam prioritárias:
- Aplicar Zero Trust também para identidades de máquina e agentes de IA, não apenas para usuários humanos.
- Adotar o princípio de “least agency”: dar a cada agente de IA apenas o escopo mínimo de ação necessário para sua tarefa.
- Formalizar políticas de governança de IA — hoje ausentes em 63% das empresas, mesmo com 87% dos profissionais de segurança reportando aumento de risco associado à IA.
Conclusão
A lição de 2026 não é que faltam pessoas em cibersegurança — é que sobra ataque automatizado por IA e falta gente treinada para operar as ferramentas de defesa que também usam IA. Empresas que tratarem contratação e governança de IA como a mesma prioridade estratégica vão sair na frente. As demais vão descobrir o custo do atraso do jeito mais caro: em produção.
