Qualys alerta: avalanche de CVEs e janela de exploração negativa entram na era Mythos

A Qualys publicou um alerta direto ao ponto: a combinação de IA “agentic” para descoberta e exploração com o backlog já existente vai empurrar as equipes de segurança para um cenário de avalanche de divulgações e janelas de exploração cada vez menores — em alguns casos, negativas.

O que está acontecendo

Segundo a análise, o modelo Mythos (Project Glasswing) automatiza descoberta e exploração em escala industrial. O resultado esperado é um salto no volume de advisories, patches e CVEs, exatamente quando o ciclo de correção já está congestionado.

• Volume acima da capacidade: a fila de vulnerabilidades cresce mais rápido do que a remediação.
• Exploração antes do patch: a janela entre divulgação e exploração está se aproximando de “TTE negativo”.
• Gap crítico: média de remediação segue em semanas, enquanto exploração ocorre em horas/dias.

Vulnerabilidade ≠ risco real

O texto reforça um ponto que costuma ser ignorado: achar uma falha não significa que ela seja explorável no seu ambiente. Um CVE crítico atrás de um WAF efetivo pode não ser prioridade; já uma falha “moderada” em um serviço exposto sem mitigação pode ser o verdadeiro incêndio.

Janela de exploração comprimida: o jogo virou

Com atacantes usando automação e IA, a exploração pode ocorrer antes mesmo da divulgação oficial. Isso elimina o “tempo de reação” clássico e transforma a gestão de vulnerabilidades em um problema de velocidade operacional, não apenas de compliance.

Como adaptar a operação (o que a Qualys defende)

• Priorizar com contexto: risco real depende de criticidade do ativo, exposição, compensações e inteligência de ameaças — não só CVSS.
• Validar exploração: confirmar se a falha é explorável no seu ambiente antes de gastar ciclos de remediação.
• Remediar de forma adaptativa: não é só patch — use mitigação temporária, regras de WAF/EDR, isolamento e hardening quando o patch não é imediato.
• Medir o que importa: a métrica proposta é o “Average Window of Exposure (AWE)”, o tempo entre exposição confirmada e fechamento validado.

O que observar agora

• Mapeie ativos críticos e caminhos de ataque reais (não só inventário).
• Reduza handoffs e burocracia no pipeline de correção.
• Automatize validação e remediação com guardrails.
• Se você não mede tempo de exposição, já está atrasado.

Fonte: Qualys Blog