Descoberta e escopo
Uma nova plataforma de segurança cibernética de código aberto, denominada CyberSentinel AI v3.0, emergiu como um desenvolvimento significativo na automação de segurança. A ferramenta combina 33 ferramentas reais de teste de penetração e inteligência de ameaças com um motor de IA agêntico, capaz de suportar modelos como Claude, GPT-4o e inferência local offline via Ollama.
Diferente de assistentes de segurança baseados em IA que apenas sugerem comandos, o CyberSentinel AI executa ferramentas como Nmap, SQLMap, Nikto, Nuclei e OWASP ZAP dentro de um sandbox isolado do Kali Linux via Docker. O sistema utiliza a IA para analisar os resultados em tempo real, representando um avanço na automação de segurança prática.
Arquitetura técnica e infraestrutura
A plataforma é projetada para rodar inteiramente em infraestrutura local, sem dependências de nuvem. O deploy é feito via Docker Compose, abrangendo sete serviços containerizados. O frontend é construído com Next.js (porta 3000), oferecendo uma interface de chat com streaming, enquanto o backend utiliza FastAPI (porta 8000) para roteamento de IA, classificação de intenção e orquestração de ferramentas.
As varreduras de segurança executam-se dentro de um container Kali isolado, mantendo operações potencialmente perigosas totalmente isoladas do sistema hospedeiro. A camada de IA é suportada por três componentes de infraestrutura de dados: Neo4j para mapeamento de grafos de conhecimento de superfícies de ataque e técnicas MITRE ATT&CK; ChromaDB como motor de Geração Aumentada por Recuperação (RAG) fundamentado em frameworks MITRE, CIS e NIST; e Elasticsearch com Kibana como um SIEM ELK Stack com eventos de segurança pré-semeados para treinamento de análise de logs.
Modelo de execução agêntica e ferramentas
O modelo de execução agêntica permite que a IA classifique a intenção do usuário, selecione autonomamente as ferramentas apropriadas e execute até cinco ferramentas simultaneamente antes de sintetizar uma análise unificada. O conjunto de ferramentas é organizado em seis categorias funcionais:
- Varredores ao vivo (11): Nmap, Nikto, Nuclei, SQLMap, Subfinder, OWASP ZAP, análise SSL/TLS, DNS Recon, WHOIS, cabeçalhos HTTP e Ping/Traceroute.
- APIs de Inteligência de Ameaças (5): Shodan, VirusTotal, AbuseIPDB, AlienVault OTX e integração NVD/CISA KEV.
- Integração SIEM (3): Conectores ELK Stack, Splunk e Wazuh.
- Detecção por IA (5): Analisador Zeek, Extrator IOC, Analisador de Logs, Detecção de Ameaças e Analisador de Phishing por E-mail.
- Caça a Ameaças (4): Regras YARA, Regras Sigma, Regras Snort/Suricata e Gerador de Consulta SIEM.
- Conformidade (5): MITRE ATT&CK, MITRE ATLAS, NIST/CIS, HIPAA/PCI-DSS e frameworks SOC 2/FedRAMP.
Segurança da IA e guardrails
Uma das características distintivas do CyberSentinel é a capacidade de alternar entre provedores de IA durante a conversa, permitindo alternar entre Anthropic Claude, OpenAI GPT-4o, OpenRouter e Ollama localmente sem perder o contexto. Todas as chaves de API são opcionais; a plataforma opera totalmente offline usando Ollama como motor de inferência padrão.
A inteligência de ameaças ao vivo é puxada dinamicamente de NVD, CISA KEV, EPSS, AlienVault OTX e Abuse.ch, mantendo o contexto de vulnerabilidade atualizado sem atualizações manuais. A plataforma impõe várias salvaguardas, incluindo guardrails de entrada/saída que bloqueiam injeção de prompt, ataques SSRF e vazamento de prompt do sistema.
Implicações para equipes de segurança
O CyberSentinel AI v3.0 representa uma convergência notável de IA agêntica e ferramentas de segurança reais, oferecendo aos pesquisadores de segurança e equipes de red team uma alternativa autocontida e operada localmente às plataformas dependentes de nuvem. Os requisitos do sistema incluem Docker Desktop e um mínimo de 8 GB de RAM. A construção inicial puxa aproximadamente 4–5 GB de imagens e dados de modelo, com inícios subsequentes concluídos em cerca de 30 segundos.
É importante notar que o projeto alerta explicitamente os usuários de que a varredura não autorizada é ilegal sob a Lei de Fraude e Abuso Computacional (CFAA). Alvos de teste seguros recomendados incluem scanme.nmap.org e testphp.vulnweb.com. A adoção dessa ferramenta por equipes de segurança deve considerar as implicações de conformidade e os riscos de uso indevido em ambientes corporativos.
Medidas de mitigação e recomendações
Para CISOs e gestores de segurança, a disponibilidade de ferramentas como o CyberSentinel AI destaca a necessidade de monitoramento de atividades de varredura não autorizadas dentro da rede. Recomenda-se a implementação de controles de rede que identifiquem tráfego de ferramentas de pentest conhecidas e a revisão das políticas de uso aceitável para garantir que o uso de ferramentas de segurança seja autorizado e documentado.
A integração com SIEMs existentes deve ser priorizada para correlacionar atividades de varredura com outros indicadores de comprometimento. Além disso, a segurança dos próprios modelos de IA deve ser reforçada, garantindo que as chaves de API e os dados de treinamento não sejam expostos em ambientes não seguros.