HackerSec apresenta Yaga, novo agente de Pentest com IA
A adoção de inteligência artificial na cibersegurança ofensiva deixou de ser apenas uma tendência distante e começa a moldar, na prática, a forma como testes de invasão são conduzidos em empresas de todos os portes. Se antes as ferramentas automatizadas se limitavam basicamente a varrer redes e aplicações em busca de falhas superficiais, agora surge uma nova geração de agentes com IA projetados para atuar em etapas mais avançadas do pentest, aproximando-se do que até pouco tempo atrás era considerado um trabalho essencialmente humano.
É nesse cenário que a brasileira HackerSec anuncia a Yaga, um agente de inteligência artificial voltado especificamente para operações de cibersegurança ofensiva. Segundo a empresa, a solução foi criada para executar, de ponta a ponta, atividades cruciais do pentest: reconhecimento técnico, enumeração detalhada de ativos e exploração de vulnerabilidades reais em diferentes tipos de ambientes – desde aplicações web e APIs até redes internas, infraestruturas em nuvem, dispositivos mobile e sistemas baseados em IA e LLMs.
A companhia afirma ser pioneira na América Latina ao desenvolver um agente de pentest com esse grau de autonomia aplicado em operações reais, e não apenas em ambientes de laboratório ou provas de conceito. Na prática, isso significa colocar a IA diretamente na linha de frente da simulação de ataques, realizando ações que antes dependiam exclusivamente de analistas sêniores e equipes especializadas.
A Yaga é um dos pilares da abordagem batizada pela HackerSec de Pentest AI-First. Nessa metodologia, a inteligência artificial assume o protagonismo nas primeiras fases da operação ofensiva. Ela é responsável por mapear o ambiente definido em escopo, identificar ativos expostos, compreender a superfície de ataque, executar tentativas de exploração e levantar evidências técnicas de possíveis brechas. Só depois dessa etapa intensiva conduzida pelo agente, entram em cena os especialistas humanos, encarregados de validar os achados, analisar cadeias de ataque mais complexas, explorar combinações avançadas de vulnerabilidades e contextualizar os riscos para o negócio.
O objetivo central da estratégia Pentest AI-First é reduzir drasticamente o tempo necessário para descobrir vetores de ataque relevantes. De acordo com dados divulgados pela empresa, tarefas que costumavam demandar dias de trabalho manual nas fases iniciais de um teste de invasão podem ser concluídas em poucas horas pela Yaga, sem que isso signifique sacrificar a profundidade da análise. A automação ofensiva amplia o alcance da investigação: mais hosts, mais caminhos de ataque e mais superfícies podem ser exploradas em menos tempo, permitindo que a equipe humana concentre seus esforços em análises mais sofisticadas.
Esse movimento não ocorre isoladamente. Em paralelo, o ecossistema global de IA aplicada à cibersegurança vem ganhando corpo. Iniciativas como o Projeto Glasswing, lançado pela Anthropic, sinalizam um interesse crescente em usar modelos de linguagem e agentes autônomos para fortalecer a defesa e, ao mesmo tempo, compreender melhor as táticas ofensivas modernas. Embora cada projeto tenha focos distintos, todos convergem para a mesma constatação: a IA está se tornando peça central na corrida entre atacantes e defensores.
O mercado de cibersegurança ofensiva, em especial, passou a chamar a atenção de investidores. Startups e empresas especializadas nesse segmento já atraíram mais de US$ 1 bilhão em aportes, impulsionadas pela demanda de organizações que precisam testar seus sistemas com a mesma agressividade e velocidade com que grupos maliciosos exploram novas vulnerabilidades. Agentes autônomos de pentest, plataformas de Red Team automatizado e orquestradores de ataques simulados são algumas das soluções que vêm ganhando tração nesse contexto.
Para entender o papel da Yaga, é importante diferenciar dois conceitos que muitas vezes são confundidos: pentest com IA e pentest autônomo. No primeiro caso, ferramentas com inteligência artificial auxiliam o trabalho do pentester – sugerem payloads, ajudam na análise de resultados, geram relatórios mais completos, mas ainda dependem de um operador humano conduzindo cada etapa. Já no modelo autônomo, como o que a HackerSec propõe com a Yaga, o agente é capaz de tomar decisões dentro de um escopo pré-estabelecido: ele escolhe quais alvos testar primeiro, quais técnicas aplicar, como encadear tentativas de exploração e quando aprofundar um vetor específico.
Apesar desse alto grau de automação, a HackerSec reforça que a Yaga não substitui o pentest realizado por especialistas humanos, mas o potencializa. Em ambientes corporativos complexos, ainda é indispensável interpretar regras de negócio, fluxos de autenticação multifator, integrações legadas e particularidades de cada sistema. Essas nuances, muitas vezes, são justamente o que transforma uma vulnerabilidade aparentemente simples em um cenário crítico de ataque. Por isso, o modelo AI-First é híbrido por natureza: a IA expande a cobertura e acelera o trabalho; os analistas agregam contexto, criatividade e julgamento estratégico.
Na prática, a operação da Yaga acontece dentro da Plataforma HAS, desenvolvida pela própria HackerSec. Por meio dela, o cliente acompanha em tempo quase real as ações do agente, a evolução do pentest e as vulnerabilidades que vão sendo encontradas. Cada falha que passa pela validação dos pentesters é apresentada com descrição técnica detalhada, pontuação de criticidade, evidências da exploração (como requisições, respostas, prints ou provas de conceito) e recomendações objetivas de correção. O ambiente também permite que o cliente gerencie o ciclo de remediação, registre o status de cada item, solicite retestes após correções e gere relatórios personalizados para diferentes públicos internos, como equipes técnicas, gestão de risco e diretoria.
O uso de IA ofensiva também muda a dinâmica da defesa. À medida que grupos maliciosos passam a incorporar automação e modelos de linguagem em suas campanhas, conseguem escalar ataques com mais rapidez, adaptar exploits, testar senhas e credenciais em massa e identificar brechas recém-divulgadas com uma eficiência inédita. Diante disso, organizações que ainda dependem apenas de ciclos de pentest pontuais, conduzidos manualmente e com baixa repetição, tendem a ficar em desvantagem temporal. É justamente essa assimetria de velocidade que soluções como a Yaga tentam reduzir.
Outro impacto relevante está na cobertura da superfície de ataque. Ambientes modernos combinam aplicações legadas, serviços em múltiplas nuvens, APIs expostas a parceiros, integrações com provedores externos, dispositivos móveis e, mais recentemente, sistemas baseados em IA e LLMs, que introduzem novas classes de risco, como prompt injection, exfiltração de dados sensíveis via modelos e bypass de filtros de segurança. Um agente de pentest com IA, treinado para operar nesses diferentes cenários, consegue testar uma gama muito maior de combinações em menos tempo, inclusive explorando padrões que passariam despercebidos em uma análise puramente manual.
Do ponto de vista das empresas, a adoção de um agente ofensivo como a Yaga traz alguns ganhos diretos: maior frequência de avaliação (já que o custo marginal de rodar novas campanhas cai), capacidade de testar ambientes dinâmicos que mudam semanalmente, e visibilidade mais rápida sobre vulnerabilidades críticas que exigem resposta imediata. Em vez de esperar o ciclo anual ou semestral de pentest tradicional, a organização pode agendar execuções recorrentes, alinhadas a releases de software, mudanças de infraestrutura ou novas integrações de negócio.
É importante, porém, alinhar expectativas: pentests autônomos não eliminam a necessidade de governança, processos de resposta a incidentes e uma estratégia de segurança bem desenhada. A Yaga, como qualquer ferramenta ofensiva, é tão eficaz quanto a capacidade da empresa de corrigir o que é encontrado e de usar os insights gerados para fortalecer a arquitetura de segurança. Nesse sentido, a combinação entre relatórios técnicos, priorização de risco e integração com times de desenvolvimento e operações passa a ser um diferencial decisivo.
O avanço de agentes como a Yaga também pressiona reguladores e áreas de conformidade a repensarem como enxergam testes de invasão. Em setores regulados, como financeiro, saúde e telecomunicações, o uso de IA em operações ofensivas precisa ser acompanhado de transparência sobre o escopo, critérios de exploração, proteção de dados sensíveis e rastreabilidade das ações executadas. Plataformas que registram logs detalhados de tudo o que o agente faz e permitem auditoria posterior tendem a ganhar espaço justamente por oferecerem maior controle e visibilidade.
Por fim, a consolidação de modelos híbridos – que unem IA ofensiva, automação tática e análise humana especializada – aponta para um novo padrão de maturidade em cibersegurança. Em vez de escolher entre “pentest tradicional” e “pentest com IA”, as empresas mais avançadas devem caminhar para integrações contínuas: agentes autônomos rodando com frequência, aplicações sendo monitoradas de forma constante e equipes de segurança usando esses resultados para orientar decisões de arquitetura, desenvolvimento seguro e gestão de risco.
O lançamento da Yaga pela HackerSec se insere exatamente nesse movimento: levar a inteligência artificial para o centro da operação de pentest, acelerar a descoberta de brechas reais e, ao mesmo tempo, manter o olhar crítico e contextual do especialista humano como peça-chave na interpretação dos resultados e na transformação dos achados em ações concretas de proteção.