O pesquisador de cibersegurança Sean Heelan descobriu uma vulnerabilidade crítica do tipo zero-day (CVE-2025-37899) no kernel do Linux, utilizando exclusivamente a API do modelo o3 da OpenAI, sem recorrer a ferramentas ou frameworks adicionais.
Heelan alimentou o modelo com trechos de código do módulo ksmbd do Linux, responsável pela execução do protocolo de compartilhamento de arquivos em rede SMB3, e solicitou que identificasse potenciais problemas de segurança de memória. O modelo demonstrou capacidade avançada de raciocínio sobre sessões concorrentes, identificando com precisão a falha de tipo use-after-free, com um alto sinal em relação ao ruído — uma façanha notável considerando a complexidade do código.
A vulnerabilidade era causada por uma má gestão das sessões concorrentes de logoff e setup, que poderia permitir a execução arbitrária de comandos com privilégios de kernel, representando um risco crítico para sistemas afetados. O presidente da OpenAI, Greg Brockman, celebrou a descoberta em seu perfil no X, destacando o potencial do modelo para revolucionar a pesquisa em segurança digital.
Apesar do feito, Heelan ponderou que o modelo não é infalível e pode, ocasionalmente, gerar resultados incoerentes. Ainda assim, este caso exemplifica como modelos como o o3 já são capazes de acelerar significativamente a análise de segurança e detecção de vulnerabilidades, ampliando a eficiência e a profundidade das investigações. A descoberta sinaliza um novo patamar para a integração de inteligência artificial em fluxos críticos de cibersegurança, onde a velocidade e a precisão são determinantes para mitigar ameaças.
