Há alguns meses, a HackerSec lançou oficialmente o Pentest AI-First, uma nova metodologia que combina inteligência artificial ofensiva com validação humana especializada. Naquele momento, mencionamos brevemente a existência de um agente de IA proprietário operando dentro da nossa metodologia. Hoje apresentamos oficialmente a Yaga, o agente de pentest da HackerSec.
O que é a Yaga
A Yaga é um agente de inteligência artificial ofensiva desenvolvido internamente pela HackerSec para executar a primeira camada do pentest. Ela não é um scanner com nome novo, nem uma interface de prompts conectada a um modelo de linguagem. A Yaga é um agente que executa reconhecimento técnico, interpreta o contexto da aplicação, realiza explorações reais dentro do escopo definido e produz achados com evidências técnicas antes que qualquer resultado chegue ao cliente.
Na prática, a Yaga executa em horas o equivalente a dias de trabalho operacional. Ela opera sobre aplicações web, APIs, redes, ambientes cloud, mobile, IoT e sistemas com IA/LLM, adaptando a execução conforme o ambiente testado e os objetivos do pentest.
Por que não basta ser autônomo
O mercado de cibersegurança ofensiva vive um momento de corrida por autonomia total. Surgiram plataformas que prometem pentest 100% autônomo, onde agentes de IA operam de ponta a ponta sem intervenção humana. Algumas dessas plataformas entregam resultados relevantes em cenários controlados e benchmarks específicos. Mas pentest real não é benchmark.
Um pentest real envolve ambientes com regras de negócio complexas, fluxos de autenticação específicos, integrações entre sistemas, contextos regulatórios e superfícies de ataque que mudam conforme a empresa evolui. Nenhum agente de IA, por mais avançado que seja, consegue interpretar todas essas camadas sozinho com a profundidade que um especialista humano alcança.
A autonomia total resolve uma parte do problema. Ela acelera, amplia cobertura e reduz tempo operacional. Mas ela também carrega um risco: quando o agente opera sozinho, sem validação, ele pode priorizar mal, interpretar contexto de forma incompleta ou deixar de explorar caminhos que exigem raciocínio ofensivo criativo. E é exatamente nesses cenários que as vulnerabilidades mais críticas costumam estar.
O modelo da HackerSec: IA que ataca, humano que aprofunda
A Yaga foi construída para operar dentro de um modelo em que autonomia e validação humana coexistem de forma estruturada. Ela não substitui pentesters. Ela potencializa.
Na primeira etapa, a Yaga executa reconhecimento, enumeração, explorações reais dentro do escopo e identificação de vulnerabilidades confirmadas. Cada achado é submetido a critérios de validação técnica antes de avançar no processo. Isso garante que os resultados da Yaga já chegam qualificados para a etapa seguinte.
Na segunda etapa, o pentester humano da HackerSec entra em ação. Ele valida cada vulnerabilidade, explora cadeias de ataque complexas, testa lógica de negócio, investiga cenários que exigem experiência ofensiva e leva a análise para um nível que a IA sozinha não alcança. É essa combinação que transforma velocidade em profundidade real.
O que diferencia a Yaga na prática
A Yaga não foi projetada para competir em benchmarks de laboratório. Ela foi desenvolvida para operar em pentests reais, com clientes reais, em ambientes de produção com toda a complexidade que isso envolve.
Enquanto outras plataformas medem sucesso por taxa de automação ou velocidade de entrega, a HackerSec mede pela qualidade do achado. Uma vulnerabilidade crítica que só foi encontrada porque o pentester humano conectou um achado da Yaga com uma falha de lógica de negócio vale mais do que centenas de findings automatizados sem contexto.
Esse é o ponto central. A Yaga amplia a capacidade ofensiva da equipe. Ela cobre mais superfície, identifica mais vetores iniciais e libera o pentester para se concentrar no que realmente exige inteligência humana. O resultado é um pentest com mais cobertura, mais profundidade e mais aderência ao comportamento real de um adversário.
Integrada à Plataforma HAS
A Yaga opera dentro da Plataforma HAS, onde o cliente acompanha toda a operação em tempo real. Vulnerabilidades encontradas pela Yaga e validadas pelos pentesters aparecem com descrição técnica, score CVSS, evidências de exploração e recomendações de correção. O cliente pode gerenciar correções, solicitar retestes e gerar relatórios diretamente pela plataforma.
Além disso, o HAS se conecta com as ferramentas que a equipe já usa. Vulnerabilidades podem ser enviadas automaticamente para Jira, notificações em tempo real no Slack e Microsoft Teams, e integração via MCP para que agentes de IA do próprio cliente consultem os dados de segurança diretamente.
O adversário já evoluiu
Cibercriminosos já utilizam inteligência artificial para potencializar reconhecimento, escalar ataques e explorar vulnerabilidades com mais velocidade. Testar ambientes com uma abordagem puramente manual já começa a ficar aquém do cenário real. Mas testar com autonomia total, sem a camada de validação e aprofundamento humano, também não resolve o problema por completo.
O pentest precisa de IA real acelerando a operação e de especialistas humanos levando a análise aonde a IA não chega. É exatamente isso que a Yaga entrega dentro da metodologia Pentest AI-First da HackerSec.
A Yaga já está operando em pentests reais dentro da Plataforma HAS. Para conhecer na prática, acesse a plataforma ou fale com nosso time.