RELATÓRIO ANUAL
Relatório de ataques
2026
Leia os resultados de um ano inteiro de testes contínuos e veja como eles podem inspirá-lo a melhorar sua postura de cibersegurança.
SEÇÃO 01
Introdução
Na Fluid Attacks, ajudamos as organizações a identificar e compreender sua superfície de ataque por meio de avaliações de segurança contínuas. Ao combinar IA, ferramentas automatizadas e uma equipe de pentesters altamente qualificada, detectamos vulnerabilidades no código e nos ambientes, o que ajuda as empresas a reduzir sua exposição a riscos e a fortalecer sua postura de segurança.
Em 2025, testamos os sistemas de nossos clientes e contribuímos para sua segurança ao longo de todo o ciclo de vida do desenvolvimento de software usando nossa solução integral Hacking Contínuo. Quando falamos sobre um "sistema" neste relatório, queremos dizer qualquer um dos três alvos de avaliação ou sua combinação: código-fonte, aplicação em execução* e infraestrutura.
O Relatório de ataques 2026 é nossa análise anual dos dados de testes de segurança ao longo de um ano inteiro.** Ele é projetado para ajudar você a avaliar a postura de segurança da sua organização e a estabelecer metas mais eficazes. Os padrões que descobrimos podem guiá-lo rumo a práticas de desenvolvimento mais seguras e a uma remediação mais rápida, protegendo, em última análise, seus usuários, sistemas e dados.
Período de coleta de dados: 1 de janeiro - 31 de dezembro, 2025
*Ao longo deste relatório, referimo-nos a este alvo simplesmente como "aplicação".
**Devido à nossa recente migração para uma nova infraestrutura de dados, os dados mostrados para o ano de 2024 podem diferir do relatório anterior.
A exposição ao risco é mais importante do que a contagem de vulnerabilidades
Como lembrete, ter menos vulnerabilidades não significa maior segurança; o que importa é manter uma baixa exposição ao risco. Um sistema com dez vulnerabilidades pontuadas, cada uma com CVSS 1,0, não é tão arriscado quanto um sistema com uma única vulnerabilidade com CVSS 10,0. Mas as pontuações brutas do CVSS não tornam essa comparação fácil, e é por isso que desenvolvemos a métrica CVSSF, nossa adaptação da pontuação padrão do CVSS. Ela foi projetada para resolver suas maiores limitações: a má agregação e a dificuldade em comparar sistemas.
Usando nosso exemplo e a equação CVSSF,* a diferença se torna evidente e mais próxima da realidade. Essas dez vulnerabilidades de baixa severidade somam um CVSSF de apenas 0,2. A única vulnerabilidade crítica? Um CVSSF de 4.096.
*CVSSF = 4^(CVSS-4)
SEÇÃO 02
Resumo executivo
Aqui estão os resultados mais impactantes
[1]
A taxa de remediação de vulnerabilidades atingiu 62,2% no final de 2025, um aumento de 21,2 pontos percentuais em relação a 2024.
[2]
Nossa GenAI (Autofix e Custom Fix) foi usada para ajudar na remediação de vulnerabilidades em 54% dos sistemas.
[3]
Nossos usuários do plugin IDE e do MCP remediaram em média duas vezes mais do que os não usuários.
[4]
Relatamos 34% mais exposição e 45% mais vulnerabilidades, em média, por sistema este ano.
[5]
O número de sistemas em que encontramos vulnerabilidades de alta e crítica severidade cresceu 26%.
[6]
O tempo médio para remediar vulnerabilidades críticas continua a diminuir! Este ano, ele diminuiu em 18%.
[7]
As equipes que utilizaram nosso CI Gate remediaram vulnerabilidades 27% mais rápido, em média, do que as que não o utilizaram.
[8]
Sistemas que utilizaram nosso CI Gate apresentaram uma taxa de remediação de 72%, em comparação com 58% para aqueles que não o utilizaram.
[9]
Nossas ferramentas, incluindo nosso novo AI SAST, detectaram 55,8% da exposição ao risco total nos sistemas avaliados.
[10]
Os testes manuais detectaram uma exposição ao risco média 5 vezes maior em comparação com as ferramentas.
[11]
Embora nossas ferramentas estejam em constante melhoria, nossos pentesters adicionam uma camada vital de profundidade: eles detectaram 90% da exposição ao risco de vulnerabilidades críticas.
[12]
As vulnerabilidades críticas tiveram a melhor taxa de remediação acumulada até o final do ano, com 63,8%.
Embora o desenvolvimento impulsionado pela IA esteja melhorando a eficiência da remediação, a superfície de ataque está se expandindo rapidamente em paralelo. Essa tendência sugere que, apesar dos nossos ganhos em velocidade, o volume geral de novo código continua aumentando a exposição ao risco total.
SEÇÃO 03
Mudanças em destaque
Veja as principais diferenças em comparação com o relatório anterior
Exposição ao risco
Em 2025, a exposição ao risco detectada por sistema aumentou, com a média subindo 8,5% e a mediana 33,5%.
8,5%
33,5%
Vulnerabilidades de severidade alta e crítica
70% dos sistemas avaliados tinham pelo menos uma vulnerabilidade de severidade alta ou crítica—um aumento em relação a 53,3% em 2024.
53,3%
70%
Classificação
Pontuação CVSSv4.0
Crítica
9,0 - 10,0
Alta
7,0 - 8,9
Média
4,0 - 6,9
Baixa
0,1 - 3,9
Nenhuma
0,0
Métodos de detecção manuais vs. automatizados
Nossas ferramentas identificaram 55,8% da exposição ao risco total este ano, o que reflete nosso trabalho contínuo para melhorá-las. Além disso, nossos pentesters encontraram a maioria das vulnerabilidades mais arriscadas, relatando 87% das descobertas de severidade crítica.
Ferramentas
Pentesters
29,5%
55,8%
70,5%
44,2%
/ Exposição ao risco
1,1%
13,0%
98,9%
87,0%
/ Vulnerabilidades críticas
Remediação de vulnerabilidades
O tempo médio de remediação (MTTR) de vulnerabilidades de severidade crítica caiu 17,5%.
17,5%
/ MTTR para vulnerabilidades críticas
Como em anos anteriores, as equipes que quebraram o build (ou seja, que utilizaram nosso CI Gate) remediaram mais rápido do que aquelas que não o utilizaram. Este ano, o tempo médio de remediação para quem quebrou o build caiu de 32 dias para 21.
Tempo de remediação: Tempo transcorrido entre a notificação de uma vulnerabilidade e sua remediação.
Quebrar o build: Controle de segurança para os pipelines de CI/CD em que nosso CI Gate interrompe a implantação de software sempre que há vulnerabilidades não aceitáveis no produto.
SEÇÃO 04
Achados gerais
Como estava o panorama de vulnerabilidade e exposição ao risco em 2025
27.440.146
Exposição ao risco reportada (unidades CVSSF)
31.041
Exposição ao risco média por sistema
1.119.396
Vulnerabilidades reportadas
1.266
Número médio de vulnerabilidades por sistema
Exposição ao risco por severidade
As vulnerabilidades de severidade alta e crítica representaram 79,9% da exposição ao risco total. Estas representam apenas 4,5% de todas as vulnerabilidades identificadas, mais apresentaram um risco 3 vezes maior do que o restante 95,5%.
Severidade
Vulnerabilidades totais
Exposição ao risco total
Crítica
5.609
8.666.452,9
Alta
44.886
13.249.647,1
Média
261.732
5.494.206,7
Baixa
807.169
29.839,2
Exposição ao risco e vulnerabilidades por severidade
Para cada objetivo de avaliação
Este ano, o padrão habitual foi mantido, onde o número de vulnerabilidades diminui à medida que seu grau de severidade aumenta. Os resultados para a infraestrutura mostraram uma leve divergência, tal como no ano passado.
Para código-fonte e aplicações, nossos alvos mais solicitados, as vulnerabilidades de baixa e média severidade representaram 95% de todas as descobertas (97,1% para aplicações, 95,3% para código-fonte). Mas as vulnerabilidades de alta e crítica severidade dominaram a exposição ao risco, variando de 80% a 99% da exposição ao risco total em todos os alvos, incluindo infraestrutura.
Objetivo de avaliação
Vulnerabilidades totais
Exposição ao risco total
Código-fonte
978.820
23.530.544,26
Aplicação
140.551
3.903.585,51
Infraestrutura
25
6.016,17
Exposição ao risco por método de detecção
55,8%
44,2%
15.302.799,63
12.137.346,3
⁺AI SAST foi introduzido no quarto trimestre de 2025
**PTaaS: penetration testing as a service
SCR: secure code review
As vulnerabilidades encontradas por nossas ferramentas automatizadas tiveram uma média de 15,5 unidades CVSSF. As encontradas por nossos pentesters tiveram uma média de 93,2 unidades, seis vezes mais.
Nossos pentesters continuam a superar a automação quando se trata de descobrir riscos ligados a vulnerabilidades de severidade crítica.
Observe que os números relativos aos pentesters provêm exclusivamente do nosso plano Advanced, que combina testes realizados por IA, ferramentas automatizadas e pentesters. Os números relativos às ferramentas incluem os planos Advanced e Essential (apenas automatizado).
A expertise humana continua sendo essencial para avaliações de segurança completas, mesmo após implementar várias ferramentas e investir em IA. Uma solução abrangente de AppSec combina os três elementos: IA, scanners e especialistas em segurança.
Nosso relatório de pesquisa "Aumentar a precisão do AST por meio de pentesting" aprofunda-se em como os testes manuais capturam o que a automação deixa passar.
Vulnerabilidades por método de detecção
88,4%
11,6%
Mas para vulnerabilidades de severidade crítica sozinhas, 87% foram identificadas através de revisão manual. Como nos anos anteriores, as técnicas manuais continuam sendo muito mais eficazes do que o escaneamento de vulnerabilidades para descobrir as falhas mais graves.
SEÇÃO 05
Principais fraquezas
Principais vulnerabilidades detectadas por risco e persistência
Top 10 de fraquezas
Por exposição ao risco
"Ausência ou evasão de mecanismo de autenticação" liderou este ranking, representando 19,1% da exposição ao risco total. A identificação dessas falhas permitiu que os clientes bloqueassem caminhos de acesso não autorizados antes que os invasores pudessem explorá-los. Juntas, as 10 principais fraquezas contribuíram com 68,4% da exposição ao risco geral.
Fraqueza
% Sistemas
Persistência
Exposição
MEx
006. Ausência ou evasão do mecanismo de autenticação
32,9
8.515
5.233.569,47
614,63
039. Controle de autorização inadequado para serviços web
47,6
10.198
2.597.472,45
254,7
184. Falta de validação de dados
64,5
40.060
2.134.129,46
53,27
390. Contaminação de protótipos
53,1
41.131
1.934.665,09
47,04
034. Geração insegura de números aleatórios
48,3
10.197
1.687.058,57
165,45
211. Negação de serviço assimétrica - ReDoS
61,8
82.079
1.427.860,84
17,4
100. Falsificação de solicitações do lado do servidor (SSRF)
50,1
14.266
1.207.683,75
84,65
359. Informação sensível no código-fonte - Credenciais
37,4
7.791
877.409,08
112,62
002. Negação de serviço assimétrica
63,1
35.530
863.976,08
24,32
441. Informações confidenciais não criptografadas - Azure
4,8
1.789
809.671,94
452,58
Fraqueza: A categoria, enquanto a vulnerabilidade é o caso particular com uma localização específica que pertence à categoria.
Persistência: Quantidade de vulnerabilidades identificadas que pertencem à categoria.
MEx: Exposição ao risco média.
Top 10 de fraquezas
Por porcentagem de sistemas
A maioria das fraquezas neste top 10 foi encontrada em mais da metade dos sistemas. "Falta de validação de dados," que permite ataques de injeção, foi a mais disseminada. Esta também está entre as 3 principais em exposição ao risco (veja acima).
As vulnerabilidades listadas constituem 28,6% do total. Suas médias e medianas das pontuações CVSS temporais variaram principalmente de baixo a médio.
Fraqueza
% Sistemas
Persistência
MTS
MdTS
184. Falta de validação de dados
64,5
40.060
4,4
4,6
067. Alocação inadequada de recursos
64,5
22.086
5,1
4,9
002. Negação de serviço assimétrica
63,1
35.530
5,2
6,6
211. Negação de serviço assimétrica - ReDoS
61,8
82.079
4,1
4,6
063. Falta de validação de dados - Path Traversal
58,0
17.391
3,5
2,7
390. Poluição de protótipo
53,1
41.131
3,7
2,7
008. Cross-site scripting (XSS) refletido
52,5
39.520
1,9
1,3
086. Verificação de integridade dos sub-recursos ausente
51,1
18.303
1,1
0,6
100. Falsificação de solicitações do lado do servidor (SSRF)
50,1
14.266
5,2
6,6
034. Geração insegura de números aleatórios
48,3
10.197
5,0
8,1
MTS: média da pontuação temporal CVSS
MdTS: mediana da pontuação temporal CVSS
Top 5 de fraquezas
Objetivo de avaliação: código-fonte
Por exposição ao risco
Este top 5 corresponde exatamente ao top 10 geral para exposição ao risco. Quase todas as vulnerabilidades nessas categorias foram encontradas no código-fonte. Elas representam um pouco mais de 10% das vulnerabilidades neste alvo, mas são responsáveis por 50% da exposição ao risco.
"Ausência ou evasão do mecanismo de autenticação" foi a fraqueza menos frequentemente relatada nesta lista, mas ficou em primeiro lugar, representando 15,9% da exposição ao risco total.
Fraqueza
Persistência
Exposição
MEx
006. Ausência ou evasão do mecanismo de autenticação*
6.767
3.737.299,38
552,28
039. Controle de autorização inadequado para serviços web
9.447
2.193.541,9
232,19
184. Falta de validação de dados
39.358
2.112.920,67
53,68
390. Poluição de Protótipo
40,625
1.934.665,09
46,63
034. Geração insegura de números aleatórios
10.166
1.682.427,79
165,5
*Recomendação: Valide os tipos de dados no lado do servidor para todos os campos de entrada na aplicação.
Top 5 de fraquezas
Objetivo de avaliação: aplicação
Por exposição ao risco
"Ausência ou evasão do mecanismo de autenticação" também lidera este top 5. Juntas, essas categorias representam 43,3% de todas as vulnerabilidades identificadas nas aplicações e são responsáveis por 67,9% de sua exposição ao risco.
"Falta de validação de dados - Token," embora quinta na classificação, tem o segundo maior MEx. É quando um token de acesso JWT não valida a assinatura, de modo que os atacantes podem modificar o token e ter suas solicitações aceitas, ou até mesmo remover a assinatura completamente e ter sucesso.
Fraqueza
Persistência
Exposição
MEx
006. Ausência ou evasão do mecanismo de autenticação
1.748
1.496.270,08
855,99
203. Acesso não autorizado a arquivos - Serviços de armazenamento em nuvem*
13.499
500.832,48
37,1
039. Controle de autorização inadequado para serviços web
754
403.933,18
535,72
333. Configuração de serviço insegura - EC2
44.667
149.840,91
3,35
353. Falta de validação de dados - Token
167
100.952,83
604,51
*Recomendação: Restringir o acesso aos serviços de armazenamento público do sistema.
SEÇÃO 06
Remediação de vulnerabilidades
Descubra os tempos e taxas de remediação
Todas as vulnerabilidades
62,2%
0,9%
4,1%
49,0%
Nossos clientes remediaram quase dois terços de todas as vulnerabilidades. Os sistemas que utilizaram nosso CI Gate alcançaram uma taxa de remediação de 72,2% no final do ano, contra 58% para os sistemas que não o utilizaram.
As taxas acumuladas de remediação variaram conforme a severidade: 38,8% para baixa, 51,9% para média, 49,2% para alta e 63,8% para crítica. Apenas 0,1% das vulnerabilidades de alta severidade e 0,3% das de severidade crítica foram aceitas permanentemente—aproximando-se da meta ideal de zero.
Nova: A organização ainda não definiu o tratamento da vulnerabilidade.
Em curso: A organização já tem planos para remediar a vulnerabilidade.
Fechada: A organização já remediou a vulnerabilidade.
Aceita temporariamente: A organização decidiu não remediar a vulnerabilidade por enquanto.
Aceita permanentemente: A organização decidiu não remediar a vulnerabilidade.
Remediação e uso de MCP
Oferecemos um servidor MCP que permite aos clientes fazer perguntas às ferramentas de IA sobre sua postura de segurança, incluindo recomendações para mitigação de riscos. Este ano, ele foi utilizado por 41% de nossos clientes. Sua taxa média de remediação foi de 49,7%, o que contrasta com a taxa de 24,1% dos clientes que não usaram o MCP.
*Começamos a monitorar o uso do MCP em junho de 2025.
Tempo de remediação
Mediana de dias para a remediação de vulnerabilidades
22
30
Comparando medianas, as equipes remediaram vulnerabilidades 26,7% mais rápido em sistemas que utilizaram nosso CI Gate (quebraram o build) do que em aqueles que não o utilizaram.
Idealmente, maior severidade significa remediação mais rápida. Foi isso que aconteceu: as vulnerabilidades de severidade crítica foram remediadas 36% (média) e 50% (mediana) mais rápido do que as de baixa severidade.
Severidade
MTTR
MdTTR
Vulnerabilidades remediadas
Baixa
56
28
312.957
Média
51
30
135.762
Alta
60
40
22.045
Crítica
36
14
3.581
MTTR: Tempo médio de remediação.
MdTTR: Mediana de tempo de remediação.
Taxa de remediação no tempo
Por exposição ao risco
Enquanto 62,2% das vulnerabilidades foram remediadas, a exposição ao risco geral caiu 55% até o final do ano. A exposição restante é fortemente influenciada por vulnerabilidades de alto risco (valores CVSSF altos) que ainda estavam abertas quando fechamos a coleta de dados. Especificamente, vulnerabilidades de alta severidade representaram 51% da exposição final não remediada.
Taxa de remediação no tempo
Todas vs severidades alta e crítica
Mais vulnerabilidades foram descobertas do que corrigidas a cada mês.* Ainda assim, a taxa de remediação cumulativa subiu de 11,1% para 42,4% no final do ano (média: 30,2%).
A taxa acumulada para vulnerabilidades de alta e crítica severidade superou consistentemente a taxa geral, apresentando uma tendência ascendente, assim como no ano passado. Ela variou de 12,5% no final de janeiro a 51,8% no final de novembro (média: 36,5%).
*Metodologia: Rastreamos as vulnerabilidades acumuladas relatadas e remediadas até o final do mês. Para janeiro, apenas as vulnerabilidades identificadas e fechadas dentro daquele mês foram contadas como remediadas. Para os meses subsequentes, qualquer vulnerabilidade fechada nesse mês foi contabilizada, independentemente de quando foi detectada em 2025.
Taxa de remediação no tempo
Por severidade
Durante a maior parte do ano, as taxas de remediação acumuladas seguiram o padrão esperado: maior severidade, maior taxa. As vulnerabilidades de baixa severidade tiveram a menor taxa (média: 26,4%), e as de severidade crítica tiveram a mais alta (média: 50,2%). A exceção ao padrão foi as vulnerabilidades de severidade média (média: 40,3%), que superaram as de alta severidade (média: 34,7%). Também inesperada, mas bem-vinda, foi a alta taxa de remediação para falhas críticas observada em janeiro.
Distribuição de taxas de remediação
Por objetivo de avaliação
Classificamos as vulnerabilidades pelo tempo de remediação, do mais curto ao mais longo, com as vulnerabilidades não remediadas no final. Em seguida, dividimos o conjunto completo de dados em dez grupos iguais (decis).
As aplicações mostraram a remediação mais rápida no geral. Cerca de um terço das vulnerabilidades em aplicações em execução foram remediadas em 16 dias ou menos; para o código-fonte, alcançar essa marca de 30% levou 99 dias. As aplicações também foram o único alvo onde pelo menos 40% das vulnerabilidades foram remediadas, o que foi alcançado em 30 dias.
A infraestrutura teve poucas vulnerabilidades relatadas para serem incluídas nesta análise e não aparece no gráfico abaixo.
Distribuição de taxas de remediação
Por severidade
As vulnerabilidades de severidade crítica foram as únicas para as quais as taxas de remediação excederam 60%. Uma taxa de 50% foi concluída mais rapidamente para este grupo do que para as vulnerabilidades de severidade média e alta (45, 227 e 286 dias, respectivamente). As vulnerabilidades de severidade baixa foram a única faixa que não atingiu uma taxa de remediação de 40% até o final de 2025.
Remediação e adoção de plug-ins IDE
23% de nossos clientes usaram nossos plug-ins IDE.* Estes integram-se com o VS Code, Cursor e IntelliJ IDEA, permitindo que os desenvolvedores vejam diretamente as linhas de código vulneráveis e acessem opções de gerenciamento, como remediação assistida por GenAI e reataques. Os clientes que utilizaram nossos plug-ins tiveram uma taxa de remediação média de 55,4%, contra 28,1% para aqueles que não os utilizaram.
*Começamos a monitorar o uso dos plug-ins em março de 2025.
Remediação com critérios de priorização personalizados
Cerca de 2% de nossos clientes estabelecem critérios de priorização de vulnerabilidades em uma disposição diferente da padrão.* Este recurso permite que os clientes personalizem quais dos seguintes critérios têm maior peso do que outros: custo de correção, uso de dependências (apenas na pré-produção ou também na produção), transitividade, EPSS e KEV. Os clientes com uma configuração personalizada tiveram uma taxa média de remediação de 64,4%, em comparação com 34% para aqueles que usaram a configuração padrão.
*Começamos a monitorar o uso da personalização em março de 2025.
SEÇÃO 07
Ajuda na remediação de vulnerabilidades
Descubra o quanto as empresas confiaram na ajuda da nossa IA e dos nossos especialistas
53,6%
24,5%
*Começamos a monitorar o uso do Autofix e do Custom Fix em março de 2025.
Oferecemos vários canais de suporte para remediação de vulnerabilidades. Os principais são Autofix, Custom Fix e Talk to a Pentester. Os dois primeiros usam IA generativa nas extensões do IDE, na plataforma ou em ambos: o Autofix fornece correções automáticas sugeridas, enquanto o Custom Fix oferece guias passo a passo abrangentes. O Talk to a Pentester, disponível apenas no plano Advanced, permite agendar chamadas de 30 minutos com nossos pentesters para trabalhar em vulnerabilidades complexas.
Autofix e Custom Fix foram usados em mais da metade dos sistemas, sendo o Custom Fix muito mais comum (93% desses sistemas). Essas ferramentas foram usadas para ajudar principalmente com vulnerabilidades de severidade baixa e média.
Este ano, as sessões de assistência com nossos especialistas foram solicitadas para cerca de um quarto dos sistemas avaliados. Nem todos os clientes do plano Advanced utilizam esse recurso, embora ele possa ajudar muito a aumentar a remediação de problemas críticos; então, incentivamos todos aqueles que não o estão usando a experimentá-lo.
