Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124


Isso foi rapidamente corrigido e divulgado como ‘CVE-2026-34219’ com crédito à equipe. A preocupação mais ampla, no entanto, era separar os bugs reais dos agentes daqueles que se disfarçavam como tal.
“A surpresa foi quão pouco foi necessário trabalhar para encontrá-los e quanto foi necessário para diferenciar os bugs reais daqueles que pareciam reais”, escreveu Nikos Baxevanis, autor do post.
A dificuldade começou com o que um agente produz. Um fuzzer, a ferramenta padrão que lança dados malformados no software até que algo quebre, retornou uma falha e um registro de onde ela aconteceu, que um engenheiro pode confirmar em minutos.
Um agente, porém, retorna uma narrativa criada. Ele rastreia como a falha pode ser alcançada, argumenta por que ela é importante, propõe uma classificação de gravidade e fornece um código funcional que demonstra o ataque. Tudo chega em prosa fluente, com a mesma leitura, seja o bug real ou inventado.
Três tipos de falsos positivos continuaram recorrentes, segundo a Fundação.
A primeira foi uma falha que ocorre apenas em uma compilação de teste, onde o compilador ativa verificações de segurança que o software enviado não carrega, de modo que nada quebra para usuários reais.
O segundo foi um ataque que só funciona se o valor perigoso for plantado manualmente dentro do programa, porque qualquer caminho que um estranho possa seguir para entregá-lo rejeita o valor primeiro. A terceira veio da verificação formal, a prática de provar matematicamente que o código se comporta corretamente, onde uma prova passou demonstrando algo trivialmente verdadeiro e não disse nada aos revisores sobre o software.