Palo Alto Networks CEO: "AI Found 5 Years of Bugs in 6 Weeks"
Nikesh Arora, CEO da Palo Alto Networks, discute como a IA está transformando a cibersegurança e os negócios. Ele revela que a ferramenta Mythos encontrou vulnerabilidades em 6 semanas que levariam 5-7 anos manualmente, alerta para o risco de modelos de IA acessíveis a atacantes em 3 meses, e prevê a morte do SaaS analítico, a reinvenção dos sistemas de trabalho e a necessidade de 10x mais dados empresariais para defesa.
Nikesh Arora - CEO da Palo Alto NetworksChamath Palihapitiya - investidor e co-hostJason Calacanis - empreendedor e co-hostDavid Sacks - empresário e co-hostDavid Friedberg - CEO da The Production Board (mencionado)
Mythos, ferramenta de IA da Palo Alto, encontrou em 6 semanas vulnerabilidades que levariam 5-7 anos manualmente, com custo de milhões de dólares.
Modelos de IA com capacidades ofensivas estarão disponíveis publicamente em 3 meses, aumentando o risco de ataques cibernéticos em massa.
SaaS analítico está morto: empresas podem usar LLMs diretamente sobre seus dados, eliminando a necessidade de módulos de análise de terceiros.
Infraestrutura de dados (bancos, storage) é o novo ouro: empresas precisarão armazenar 10x mais dados nos próximos 3 anos para treinar modelos de defesa.
Interfaces de usuário (UI) tradicionais desaparecerão, substituídas por agentes de IA que executam tarefas diretamente, eliminando a necessidade de entrada manual de dados.
A taxa de falsos positivos em modelos de IA (ex.: 30% no Mythos) é um grande desafio para defesa cibernética, exigindo redução para 0,1% sem aumentar falsos negativos.
Os maiores profit pools da IA estão nas aplicações, não nos modelos base; empresas de aplicações arbitrarão entre modelos para resolver problemas de negócio.
A Palo Alto Networks planeja usar IA para otimizar suas operações, alcançando margens operacionais de 40-50%, e está aberta a aquisições que se beneficiem dessa eficiência.
IA como democratizadora de inteligência e impacto nos negócios
Nikesh Arora define IA como 'democratizadora da inteligência', similar ao que o Google fez com a informação.
Exemplo: 250 pessoas em marketing podem ter 90% de consistência na saída; 5.000 vendedores podem agir de forma uniforme, eliminando a dependência de 'João sabe resolver, Jim não'.
A IA permite que empresas operem com mais consistência e eficiência, transformando a gestão de equipes grandes.
Arora destaca que a IA não substitui pessoas, mas aumenta a produtividade e a qualidade do trabalho.
Mythos: descoberta de vulnerabilidades em velocidade recorde
Palo Alto Networks usou a ferramenta Mythos (provavelmente baseada em modelo da Anthropic ou similar) para testar seu próprio código.
Em 6 semanas, Mythos encontrou vulnerabilidades que levariam de 5 a 7 anos para serem descobertas manualmente.
O custo foi na casa dos milhões de dólares (baixo para o valor gerado).
No modo 'ultra' (pensamento persistente), Mythos consegue encadear vulnerabilidades, criando novos caminhos de ataque.
A Palo Alto já está no topo das empresas que testam código; o impacto em empresas comuns será muito maior.
A capacidade de IA para encontrar bugs é real e não exagerada.
Ameaça iminente: modelos de IA ofensivos disponíveis em 3 meses
Arora estima que em 3 meses (ou menos) modelos com capacidades similares ao Mythos estarão disponíveis publicamente, via open source ou modelos chineses.
Modelos como Claude 4.8 e 5.5 já têm capacidades próximas.
Não é necessário quebrar o código mais difícil; vulnerabilidades em sistemas legados (ex.: OT industrial) são fáceis de explorar.
89% dos ataques cibernéticos ocorrem por roubo de credenciais (senhas fracas), não por exploração de vulnerabilidades complexas.
O maior risco não é contra infraestrutura crítica (protegida), mas sim contra pequenas empresas (consultórios, dentistas) que causariam caos econômico.
Exemplo: ataque ransomware à Change Healthcare paralisou consultórios nos EUA, exigindo bilhões em créditos do UnitedHealth.
Morte do SaaS analítico e reinvenção dos sistemas de trabalho
Arora declara: 'SaaS analítico está morto' – empresas não precisam mais de módulos de análise de dados; LLMs podem analisar dados diretamente.
Exemplo: a equipe do All-In reduziu a conta de SaaS em 90% ao substituir 17 licenças não utilizadas por 3 contas integradas ao Claude via Slack.
Sistemas de infraestrutura (bancos de dados, storage) são essenciais e continuarão crescendo – empresas precisarão de 10x mais dados nos próximos 3 anos.
Sistemas de registro (ex.: Salesforce, SAP) serão reinventados: a UI desaparecerá, substituída por agentes que executam tarefas automaticamente.
Exemplo: um vendedor faz uma chamada, o agente transcreve, extrai pontos-chave e atualiza o CRM sem intervenção humana.
A auditoria melhora porque humanos não tocam nos dados; agentes gerenciam tudo.
Desafio dos falsos positivos em modelos de IA
Mythos teve uma taxa de falsos positivos de 30% – ou seja, 30% das vulnerabilidades apontadas não eram reais.
Para defesa cibernética, isso é inaceitável: um falso positivo pode levar a ações desnecessárias e perda de tempo.
Em aplicações empresariais (ex.: pagamento de seguros), 10-20% de falsos positivos geram perdas financeiras.
O verdadeiro desafio não é ter o modelo mais inteligente, mas reduzir a taxa de falsos positivos para 0,1% sem aumentar falsos negativos.
Arora compara com carros autônomos: ninguém colocaria os filhos em um carro com 10% de falsos positivos.
Muito trabalho pós-modelo é necessário para tornar a IA útil e confiável em contextos de negócio.
Visão sobre empresas de tecnologia: Google, Waymo, OpenAI, Anthropic
Google: subestimado; será a primeira empresa de US$ 10 trilhões; tem todos os ativos (modelos, dados, força de vendas) para vencer na IA.
Waymo: os carros funcionam, mas deveriam estar em mais cidades mais rápido.
OpenAI e Anthropic: precisam vender mais rápido; Anthropic está crescendo ARR mais rápido que OpenAI, focando em enterprise.
A corrida atual é pelos profit pools das aplicações, não pelos modelos base.
Arora acredita que modelos se tornarão uma camada de utilidade (commodity), com preços variando por nível de inteligência (IQ 120 vs 250).
Empresas de aplicações arbitrarão entre modelos para resolver problemas de negócio; a maioria das empresas não quer construir seus próprios modelos.
Estratégia de M&A e eficiência operacional da Palo Alto Networks
Histórico: Palo Alto comprava empresas de produto e as integrava ao seu motor de vendas, aumentando o ticket médio de US$ 10M para US$ 20M.
Recentemente, comprou uma empresa de identidade por US$ 25B (fechada há 3 meses), antecipando a importância da identidade na era de agentes.
Nova oportunidade: usar IA para tornar a Palo Alto a empresa mais eficiente do mundo, com margens operacionais de 40-50% (gross margin nos 90%).
Empresas subescala não conseguem otimizar suas operações; a Palo Alto pode comprá-las e aplicar sua eficiência, transformando margens de 20% em 40%.
Arora acredita que terá mais funcionários técnicos do que antes, pois a IA exige transformação e mais engenheiros.
Hardware e supply chain na era da IA
Hardware continua essencial para baixa latência e alta throughput – setor financeiro (Goldman, JPMorgan) não migra para cloud por causa da latência.
Dell, dada como morta, pode voltar a valer US$ 300-400 bilhões.
O gargalo não é design, mas produção: todos os componentes estão em falta devido à demanda por GPUs.
EUA podem levar 10 anos para preencher a cadeia de suprimentos, mas o boom de investimentos (ex.: US$ 100B em memória) acelera o processo.
Incentivos fiscais (depreciação acelerada de 100% no primeiro ano) ajudam a viabilizar o Capex.
Passos práticos
Empresas devem auditar seu código com ferramentas de IA (como Mythos) para encontrar vulnerabilidades rapidamente, antes que atacantes o façam.
Reduza o número de licenças SaaS analíticas: conecte seus dados diretamente a um LLM (ex.: Claude) via Slack ou API para consultas em linguagem natural.
Invista em infraestrutura de dados: armazene 10x mais dados empresariais para treinar modelos de defesa e detectar anomalias.
Prepare-se para a eliminação de UIs: comece a projetar agentes que executem tarefas automaticamente (ex.: transcrição de reuniões, atualização de CRM).
Para CISOs: exija que fornecedores de IA reportem taxas de falsos positivos e negativos; não aceite modelos com mais de 0,1% de falso positivo para defesa.
Empresas de SaaS: se você é analítico, pivote para oferecer valor além da análise, ou será substituído por LLMs diretamente.
Invista em cibersegurança: o risco de ataques em massa aumentará com a disponibilidade de modelos ofensivos; priorize patches e autenticação multifator.
Considere modelos de precificação por consumo em vez de assinatura por seat, para alinhar custo ao valor gerado.
Frases marcantes
"AI is democratizing intelligence."
"In 6 weeks we found vulnerabilities which would have normally taken us 5 to 7 years to find."
"The entire model weights of their newest model fits on a USB stick."
"If you're an analytical SaaS company, it's over."
"UI enterprise software and consumer software UI is the worst thing we did as technologists."
"The problem is not who wants the new model. The problem is how do you take that model with 20% false positive and make it 0.1% false positive."
Mencionados no episódio
Mythos - ferramenta de IA para encontrar vulnerabilidades em código
Palo Alto Networks - empresa de cibersegurança
OpenAI - empresa de IA, criadora do ChatGPT
Anthropic - empresa de IA, criadora do Claude
Claude 4.8 / 5.5 - modelos da Anthropic
Google - empresa de tecnologia
Waymo - subsidiária de carros autônomos da Alphabet
SoftBank - conglomerado japonês de investimentos
Salesforce - plataforma de CRM
SAP - empresa de software empresarial
Databricks - plataforma de dados e IA
Snowflake - plataforma de dados em nuvem
MongoDB - banco de dados NoSQL
Oracle - empresa de banco de dados e cloud
Dell - fabricante de hardware
Change Healthcare - processadora de pagamentos de saúde (atacada por ransomware)
UnitedHealth - seguradora de saúde
IBM - empresa de tecnologia (mencionou projeto de US$ 5B para corrigir open source)
Nikesh Arora - CEO da Palo Alto Networks
Sarah (Friel) - ex-COO da OpenAI (mencionada)
Dario (Amodei) - CEO da Anthropic (mencionado)
David Friedberg - CEO da The Production Board (mencionado)
Jeff Weiner - ex-CEO do LinkedIn (mencionado como CEO não-fundador excepcional)
Silver Lake - firma de private equity (mencionada em contexto de hardware)
Goldman Sachs, JPMorgan, Morgan Stanley - bancos de investimento (exemplos de baixa latência)