A agência federal responsável por defender a infraestrutura crítica da América contra ataques cibernéticos perdeu aproximadamente um terço de sua força de trabalho desde o início de 2025. E vai piorar.
A Agência de Cibersegurança e Segurança da Infraestrutura, mais conhecida como CISA, está enfrentando uma proposta de corte orçamentário de US$ 707 milhões no ano fiscal de 2027 que poderia eliminar mais 766 posições em tempo integral. Isso está acontecendo exatamente no momento em que ameaças cibernéticas impulsionadas por IA estão evoluindo mais rápido do que a maioria das organizações consegue corrigir seus sistemas.
A ameaça da IA que mudou o cálculo
Em 7 de abril de 2026, a Anthropic lançou o Claude Mythos Preview, um modelo de IA capaz de identificar milhares de vulnerabilidades zero-day e executar ataques autônomos.
Vulnerabilidades de dia zero são falhas de segurança que os desenvolvedores de software ainda não conhecem. São o tipo mais perigoso de exploração, pois não há correção disponível quando os atacantes agem. Historicamente, encontrá-las exigia hackers elite com profundo conhecimento gastando semanas ou meses analisando sistemas. O Claude Mythos Preview reduziu drasticamente esse prazo.
O diretor interino da CISA, Nick Andersen, foi descrito como “na mesa, mas não no jogo” durante as primeiras discussões na Casa Branca sobre a resposta à ameaça da IA. Essa é uma maneira educada de dizer que as contribuições da agência estão sendo ouvidas, mas não estão moldando as decisões.
Piorando as coisas, a CISA não substituiu seu principal oficial de IA desde que esse cargo ficou vago em 2025. Assim, a agência responsável por defender a infraestrutura digital do país não tem um líder sênior dedicado a compreender a própria tecnologia que está redefinindo o cenário de ameaças.
Perdas de pessoal atendem ameaças crescentes
A redução de força de trabalho da CISA de aproximadamente um terço ocorreu por meio de uma combinação de demissões voluntárias planejadas e ações orçamentárias.
A CISA opera o programa Known Exploited Vulnerabilities, ou KEV, que mantém um catálogo de falhas de segurança ativamente exploradas e define prazos para agências federais aplicarem correções. Discussões atuais estão explorando a possibilidade de reduzir esses prazos de correção de semanas para apenas três dias.
Ex-funcionários expressaram publicamente preocupação de que a mudança estratégica afastando-se do papel tradicional da CISA possa comprometer a gestão de vulnerabilidades em um momento em que capacidades impulsionadas por IA tornam a resposta rápida mais importante do que nunca.