Check Point identifica explorações com IA capazes de violar vulnerabilidades em minutos

O que os pesquisadores examinaram recentemente foi a ideia de um “cérebro” por trás dos ataques cibernéticos de próxima geração: uma camada de orquestração e abstração que coordena um grande número de agentes de IA especializados para lançar operações complexas em larga escala. Essa arquitetura já começava a aparecer em campanhas ofensivas, sinalizando uma mudança na forma como os agentes de ameaças organizam e executam ataques; a chegada do Hexstrike-AI confirma esse conceito.

Inicialmente promovido como uma ferramenta (Open Source) de segurança ofensiva para equipes de Red Team e investigadores, com uma arquitetura que combina os grandes modelos de linguagem (LLMs) e ferramentas profissionais de cibersegurança, o Hexstrike-AI foi rapidamente desviado para fins maliciosos. Em poucas horas, já havia discussões nos fóruns na Dark Web sobre a sua aplicação para explorar vulnerabilidades de dia zero em appliances Citrix NetScaler, reveladas no último dia 26 de agosto.

Arquitetura do Hexstrike-AI
O Hexstrike-AI representa uma mudança radical nas operações ofensivas. No seu centro está uma camada de abstração e orquestração que permite que modelos de IA como Claude, GPT ou Copilot executem automaticamente ferramentas de segurança, sem necessidade de supervisão humana.

O que o Hexstrike-AI faz é introduzir Agentes MCP (Protocolo de Contexto do Modelo), uma espécie de servidor avançado que faz a ligação entre os LLMs a capacidades ofensivas reais, em que os agentes de IA podem operar mais de 150 ferramentas diferentes, desde testes de penetração e detecção de vulnerabilidades até Automação de programas de bug bounty (programas de recompensa por vulnerabilidades).

Esta forma de atuação espelha exatamente o conceito descrito pelos pesquisadores da Check Point Software: trata-se de um autêntico cérebro de orquestração que remove as barreiras existentes, ao decidir que ferramentas usar e como se adaptar em tempo real. Eles analisaram o código-fonte e a arquitetura do Hexstrike-AI e identificaram vários aspectos importantes do seu projeto:

Camada de Orquestração MCP
Atua como o cérebro do sistema. Permite que modelos como GPT ou Claude controlem diretamente ferramentas de segurança, emitindo comandos de forma programada e sem supervisão humana.

Integração de Ferramentas em Escala
Suporte nativo para mais de 150 ferramentas como Nmap. Todas as ferramentas são convertidas em funções uniformes, facilitando a automação e a integração em massa.

Automação e Resiliência
Possui mecanismos de repetição automática e recuperação de falhas. Garante a continuidade de ataques mesmo se houver falhas temporárias durante o processo.

Tradução de Intenção para Execução
Comandos genéricos são transformados em ações técnicas específicas. O sistema entende “explorar NetScaler” e executa os passos certos automaticamente.

De acordo com os pesquisadores, o lançamento do Hexstrike-AI já seria preocupante por si só, mas o impacto é agravado pelo tempo. No mesmo dia da sua divulgação (26/08), a Citrix informou as seguintes vulnerabilidades que afetam os dispositivos NetScaler ADC e NetScaler Gateway:

CVE-2025-7775 – Execução remota de código não autenticada. Já explorada em campo, com webshells observados em dispositivos comprometidos.

CVE-2025-7776 – Falha de gestão de memória nos processos centrais do NetScaler. Ainda sem confirmação de exploração, mas de alto risco.

CVE-2025-8424 – Fragilidade nos controles de acesso das interfaces de gestão. Também sem confirmação em ambiente real, mas expõe caminhos críticos de controle.

A exploração destas falhas exige conhecimentos técnicos avançados, já que estas implicam conhecimentos em operações de memória, bypasses de autenticação e particularidades da arquitetura do NetScaler. Isto habitualmente exigiria operadores altamente qualificados e semanas de desenvolvimento.

Com o Hexstrike-AI, essas barreiras parecem ter desaparecido. Nas 12 horas seguintes à divulgação das vulnerabilidades, observaram-se discussões em fóruns na Dark Web sobre o uso do Hexstrike-AI para localizar e explorar instâncias vulneráveis do NetScaler. Em vez de semanas de desenvolvimento, a IA automatiza tarefas como reconhecimento, criação de exploits (explorações) e entrega de cargas maliciosas.

Alguns atacantes chegaram mesmo a colocar à venda as instâncias vulneráveis que conseguiram identificar usando esta ferramenta. As implicações desta nova forma de atuar são as seguintes:

Uma tarefa que demoraria dias ou semanas a um operador humano pode agora ser iniciada em menos de dez (10) minutos.
A exploração pode ser paralelizada em grande escala, com agentes analisando milhares de IPs simultaneamente.
A tomada de decisão torna-se adaptativa; tentativas falhadas são automaticamente reexecutadas com variações até obter sucesso.

A janela entre a divulgação da vulnerabilidade e a exploração em massa encurta-se drasticamente. A CVE-2025-7775 já está sendo explorada e, com o Hexstrike-AI, o volume de ataques irá aumentar rapidamente.

Medidas para proteção
A prioridade imediata é clara: corrigir e reforçar os sistemas afetados. A Citrix já lançou versões corrigidas (fixed builds), e os defensores devem agir imediatamente. Os pesquisadores da Check Point Software listam medidas técnicas e ações que os defensores devem adotar contra essas CVEs, incluindo principalmente o fortalecimento das autenticações, restrição de acesso e caça a ameaças nos webshells afetados.

No entanto, o Hexstrike-AI representa uma mudança de paradigma mais ampla, na qual a orquestração de IA será cada vez mais usada para transformar vulnerabilidades em armas de forma rápida e em larga escala. Para se defender dessa nova classe de ameaça, as organizações devem evoluir suas proteções de acordo:

 Adotar detecção adaptativa
 Assinaturas e regras estáticas não serão suficientes. Os sistemas de detecção devem ingerir informações atualizadas, aprender com ataques em andamento e se adaptar dinamicamente.

Integrar defesa orientada por IA
Assim como os atacantes estão construindo camadas de orquestração, os defensores devem implantar sistemas de IA capazes de correlacionar telemetria, detectar anomalias e responder de forma autônoma na velocidade das máquinas. 

Reduzir ciclos de aplicação de patches
 Quando o tempo para exploração é medido em horas, aplicar patches não pode ser um processo de semanas. Pipelines automatizados de validação e implantação de patches são essenciais. 

Fusão de inteligência sobre ameaças
 Monitorar discussões na Dark Web e conversas em fóruns ilícitos é agora um insumo defensivo crítico. Sinais precoces, como discussões sobre o Hexstrike-AI e CVEs do NetScaler, fornecem tempo vital para os profissionais se prepararem.

Engenharia de resiliência
 Assuma a possibilidade de comprometimento. Arquitetar sistemas com segmentação, privilégio mínimo e capacidades robustas de recuperação para que uma exploração bem-sucedida não se traduza em impacto catastrófico.

O Hexstrike-AI é um marco. O que antes era uma arquitetura conceitual – um cérebro central de orquestração direcionando agentes de IA – agora se materializou em uma ferramenta funcional. E já está sendo aplicada contra vulnerabilidades de dia zero ativas.

Os pesquisadores também têm alertado à comunidade de segurança sobre a convergência da orquestração de IA com ferramentas ofensivas, e o Hexstrike-AI prova que esses alertas não eram apenas teóricos. O que parecia uma possibilidade emergente é agora uma realidade operacional, e os atacantes não estão perdendo tempo em colocá-la em prática.