A agência federal de cibersegurança criou um novo caminho para que pessoas fora do governo dos EUA reportem vulnerabilidades ao seu catálogo de falhas que foram exploradas. ### Relatório Simplificado de Vulnerabilidades **CISA** anunciou a criação de um formulário de nomeação na quinta-feira que, segundo eles, permite que “pesquisadores, fornecedores e parceiros da indústria” reportem falhas que precisam ser adicionadas ao catálogo **Known Exploited Vulnerabilities (KEV)** — uma ferramenta chave que se tornou um recurso crítico para a comunidade de cibersegurança. “Todos os dias, **CISA** colabora com pesquisadores de segurança e parceiros da indústria que identificam e reportam vulnerabilidades exploradas. Esta nova capacidade de relatório aprimora a habilidade da **CISA** de identificar, validar e compartilhar rapidamente informações críticas de ameaças”, disse Chris Butera, **CISA**’s Acting Executive Assistant Director for Cybersecurity. “Detecção precoce e divulgação coordenada de vulnerabilidades estão entre as ferramentas mais poderosas que temos para reduzir o risco em escala. **CISA** encoraja fortemente pesquisadores e organizações a compartilhar ameaças de vulnerabilidade e nos ajudar a proteger os sistemas nos quais os americanos confiam todos os dias.” Especialistas agora podem submeter vulnerabilidades através de um [formulário de nomeação](https://cisasurvey.gov1.qualtrics.com/jfe/form/SV_1Zwu52kgK2OYf3w) ou por e-mail e precisam fornecer informações sobre a falha, bem como evidências de sua exploração. ### A Importância do Catálogo KEV O catálogo, conhecido coloquialmente como KEV, destina-se a fornecer aos defensores de cibersegurança dentro do governo federal uma lista autoritativa de vulnerabilidades de software e hardware que precisam ser corrigidas dentro de um determinado período — tipicamente três semanas. Permitiu que os defensores se concentrassem na remediação de vulnerabilidades que estão sendo ativamente exploradas por hackers e atores de estados-nação. A agência disse que reportar falhas para a **CISA** é “essencial para a postura de cibersegurança da nação, ajudando a garantir que vulnerabilidades exploradas sejam descobertas precocemente, comunicadas de forma responsável e mitigadas rapidamente em redes federais, privadas e de infraestrutura crítica”. Robert Costello, que atuou como chief information officer da **CISA** por quase cinco anos antes de sair em março, disse que o novo formulário de submissão é uma maneira para a agência operacionalizar sua parceria com a comunidade de pesquisa de cibersegurança de forma muito prática. “Crowdsourcing de inteligência de exploração através de um processo de nomeação padronizado significa adições mais rápidas ao KEV e, finalmente, ações defensivas mais rápidas em todo o ecossistema”, disse ele. “É o movimento certo na hora certa, pois a IA está acelerando tanto a descoberta quanto a exploração de vulnerabilidades a um ritmo que torna a divulgação precoce e coordenada mais crítica do que nunca.” ### Impacto e Considerações Futuras À medida que o catálogo cresceu [desde sua estreia em 2021](https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000), defensores de cibersegurança fora do governo federal o adotaram como um ponto de referência para saber quais falhas estão sendo alvejadas. Especialistas descobriram que as organizações remediariam vulnerabilidades adicionadas ao KEV [3,5 vezes mais rápido do que falhas não-KEV](https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster). Tornou-se ainda mais crítico à medida que os defensores descobrem como lidar com um dilúvio crescente de vulnerabilidades descobertas por IA — muitas das quais são insignificantes e improváveis de serem exploradas. Mayuresh Dani, da **Qualys**, disse que a **CISA** anteriormente aceitava submissões por e-mail, mas observou que não havia relatórios externos sobre quantas vulnerabilidades foram adicionadas ao KEV com base em submissões para este endereço de e-mail. O novo formulário força os submissores a adicionar informações críticas e detalhadas. “Esperançosamente, esta funcionalidade agora fornecerá visibilidade sobre o que exatamente acontece após a submissão”, disse Dani ao Recorded Future News. “O que precisa ser visto é como esta informação é verificada pela **CISA** e quais salvaguardas contra relatórios incorretos e falsos são implementadas pela **CISA** para que apenas observações de exploração reais e validadas cheguem à lista KEV.” Dani acrescentou que a **CISA** pode estar tentando correr atrás, pois alternativas comerciais ao KEV estão disponíveis e algumas agora o consideram um indicador tardio de exploração de vulnerabilidades. Embora quase todas as falhas inicialmente adicionadas ao KEV recebessem um prazo de remediação de três semanas, o número de vulnerabilidades dadas e [até mesmo prazos de correção de 24 horas](https://therecord.media/cisa-orders-agencies-patch-citrix-bleed-2) aumentou no último ano. No início deste mês, a Reuters [relatou](https://www.reuters.com/legal/litigation/us-officials-weigh-cutting-deadlines-fix-digital-flaws-amid-worries-over-ai-2026-05-01/) que o Diretor Interino da **CISA**, Nick Anderson, e o Diretor Nacional de Cibersegurança dos EUA, Sean Cairncross, levantaram a possibilidade de limitar o prazo do KEV para todas as novas falhas a apenas três dias, devido à preocupação com hackers agora usando sistemas de IA poderosos e emergentes para desenvolver exploits para vulnerabilidades em um tempo menor. Especialistas disseram que o novo esforço para coordenar com o setor privado foi projetado para acelerar os esforços de defesa, a divulgação de vulnerabilidades e o rastreamento de exploração. “Melhorias como esta podem ajudar a fortalecer a qualidade do sinal e a pontualidade do KEV, o que, em última análise, beneficia os defensores que tentam priorizar o risco do mundo real sobre a gravidade teórica”, disse Chris Doyle, da **JupiterOne**.