Chris Goettl (*)
A gestão de patches está entrando em uma nova era. Para muitas equipes de TI e cibersegurança, o desafio já não é apenas detectar vulnerabilidades, mas reagir rápido o suficiente antes que elas sejam exploradas
O gatilho ocorreu em 7 de abril, quando a Anthropic anunciou que seu modelo de IA Claude Mythos Preview identificou autonomamente milhares de vulnerabilidades críticas e de dia zero nos principais sistemas operacionais e navegadores do mercado. Mais de 99% permaneciam sem correção no momento da divulgação.
Duas semanas depois, em 21 de abril, a Mozilla confirmou que utilizou o mesmo modelo para encontrar e corrigir 271 vulnerabilidades na versão mais recente do Firefox. A própria avaliação da empresa foi direta: Até agora, não encontramos nenhuma categoria ou complexidade de vulnerabilidade que humanos consigam identificar e que este modelo não consiga.
Chamemos isso pelo que realmente é: um apocalipse dos patches — do tipo operacional, em que o volume e a velocidade das vulnerabilidades públicas com patches disponíveis estão prestes a ultrapassar a capacidade de resposta da maioria das equipes de TI e segurança.
O NIST já está sentindo o impacto
O relatório CrowdStrike 2026 Global Threat Report já havia documentado um aumento de 89% ano após ano nos ataques habilitados por IA em 2025 — antes mesmo de modelos como o Mythos entrarem em cena.
Ao mesmo tempo, o NIST — a agência do governo dos Estados Unidos responsável pelo banco de dados global de vulnerabilidades conhecidas — anunciou que não consegue mais processar tudo o que recebe. As submissões cresceram 263% e a agência tomou uma decisão sem precedentes: daqui para frente, analisará em detalhes apenas as vulnerabilidades que atendam aos critérios de alto risco. O restante ficará sem avaliação oficial. É a primeira vez que o sistema criado para manter o registro global de ameaças admite que o volume superou sua capacidade.
O que muitas organizações assumem que já está resolvido
Muitas organizações acreditam que já estão protegidas: possuem scanners de vulnerabilidade, processos de aprovação e ferramentas de gerenciamento de dispositivos. O problema é que nenhuma dessas peças fecha o ciclo sozinha. Scanners detectam e listam — não implantam nem verificam. Processos de aprovação baseados em tickets, criados para outra velocidade operacional, geram gargalos que agora se estendem por semanas. E ferramentas de gerenciamento de dispositivos possuem limitações de cobertura que deixam de fora servidores, endpoints de terceiros e aplicações fora de seu ecossistema. Com janelas de exploração agora medidas em horas, essas lacunas deixaram de ser detalhes operacionais — tornaram-se risco acumulado.
O Que Realmente Fecha o Ciclo
A resposta não é substituir o que já existe — é conectá-lo com automação capaz de fechar essas lacunas. Na prática, isso significa três coisas:
Prioridade baseada em risco, não em calendário.
Vulnerabilidades ativamente exploradas não podem esperar pelo ciclo mensal. Navegadores, aplicativos de comunicação e sistemas de usuários finais vêm primeiro. Todo o restante segue o cronograma regular.
Implantação em etapas com rollback automático
Comece com um pequeno grupo, expanda para um grupo maior e depois faça a implementação para todos. Quando há uma vulnerabilidade ativa, esse processo precisa ser reduzido de semanas para dias. E, se algo falhar, o sistema deve reverter automaticamente.
Um patch só conta quando sua instalação é confirmada.
A maioria das equipes encerra o problema quando o patch é aprovado. O risco só termina quando se verifica que ele chegou a todos os dispositivos — sem essa confirmação, a evidência de conformidade se transforma em crise antes de cada auditoria.
Seu programa de patching está preparado?
Se uma vulnerabilidade crítica de dia zero surgir na próxima sexta-feira à tarde, por exemplo, sua equipe conseguiria remediá-la completamente antes de segunda-feira?.
Meça desde o momento em que o alerta é publicado até o instante em que o último dispositivo esteja protegido. Se isso leva semanas, o apocalipse dos patches já encontrou você.
(*) VP de Gestão de Produtos para Soluções de Segurança na Ivanti.