A inteligência artificial já se consolidou como uma alavanca real em operações ofensivas. Modelos avançados conseguem acelerar mapeamento de superfície de ataque, coleta massiva de informações públicas, correlação de dados e geração de scripts em uma velocidade que nenhum time humano alcança sozinho. Em ataques reais isso significa mais tentativas em menos tempo, campanhas paralelas e uma capacidade de execução em larga escala. No contexto de pentest, a lógica é parecida a IA potencializa o trabalho técnico, mas não transforma o teste ofensivo em algo totalmente automatizado.
O caso recente divulgado pela Anthropic mostra até onde essa automação já chegou. A empresa identificou e interrompeu uma campanha de espionagem ligada a um grupo apoiado pelo Estado chinês, que usou o Claude Code de forma agente para atacar cerca de trinta organizações em setores como tecnologia, finanças, indústria química e governo. Segundo o próprio relatório, entre oitenta e noventa por cento das etapas táticas foram conduzidas pelo modelo, que executou reconhecimento, exploração inicial, coleta de credenciais e triagem de dados de forma quase autônoma, com intervenção humana limitada ao direcionamento estratégico e ajustes pontuais. Não foi um pentest legítimo e sim uma operação de intrusão real, mas o recado técnico é claro a IA já é capaz de automatizar grande parte do fluxo ofensivo quando bem orquestrada.
Quando se olha especificamente para pentest profissional, o limite aparece rápido. A IA é excelente para acelerar descoberta e classificação de ativos expostos, sugerir vetores prováveis de ataque, gerar provas de conceito para vulnerabilidades conhecidas e estruturar partes de relatórios. Porém, ela ainda não compreende com precisão o contexto de negócio, não avalia impacto real em processos críticos, não constrói cadeias de exploração criativas fora do padrão e não navega bem em ambientes híbridos com exceções, legados e comportamentos inesperados.
A IA ainda não é capaz de realizar testes mais avançados nem explorações mais avançadas, que exigem leitura de cenário, improviso, pensamento adversário e julgamento técnico refinado.” comenta Andrew Martinez, CEO da empresa de cibersegurança ofensiva HackerSec.
Em termos práticos, a IA organiza o campo e acelera a operação, mas quem executa o pentest de verdade continua sendo o analista de Red Team altamente qualificado.
É justamente aqui que surge o risco para o mercado. Já existem empresas vendendo pentest de IA como se automação fosse solução completa, prometendo validações ofensivas sem depender de equipes especializadas. Na prática, o que essas ofertas entregam é um conjunto mais rápido de varreduras e verificações automatizadas, úteis, porém limitadas. Sem exploração manual profunda, sem validação contextual de impacto e sem construção de cenários realistas de ataque, o resultado é um falso senso de segurança. Para qualquer organização séria, a pergunta central não deveria ser se há IA no teste, e sim como a IA está sendo usada para ampliar o trabalho humano. Hoje não existe pentest 100% automatizado com IA e isso ainda vai demorar para se tornar tecnicamente viável em nível comparável ao de um time experiente.
Nas operações ofensivas mais maduras, o modelo que se consolida é a combinação de agentes de IA com especialistas em cibersegurança ofensiva, em que a máquina cuida da escala e da velocidade enquanto o humano cuida da inteligência, das decisões críticas e das explorações avançadas. A HackerSec já adota esse padrão em seus testes ofensivos, utilizando IA para acelerar mapeamento de superfície de ataque, correlação de dados e preparação de cenários, mantendo o núcleo do pentest nas mãos de analistas de Red Team altamente qualificados. Esse equilíbrio entre automação e profundidade manual garante velocidade sem perda de qualidade técnica e consolida a HackerSec como principal referência em cibersegurança ofensiva no mercado brasileiro.
