Uma vulnerabilidade que esteve escondida por quase três décadas acaba de ser corrigida no Squid Proxy, um dos servidores de cache e intermediação de tráfego mais usados do mundo. Batizada de Squidbleed (registrada como CVE-2026-47729), a falha permitia que um atacante lesse pedaços da memória do servidor — incluindo credenciais, requisições de outras pessoas e tokens de sessão. O detalhe que chama atenção: ela foi localizada com a ajuda de um modelo de inteligência artificial, o Claude Mythos Preview, da Anthropic.
Segundo os pesquisadores da empresa de segurança Calif, o problema mora no módulo de FTP do Squid. Quando um servidor FTP devolve uma linha sem nome de arquivo, uma função clássica da linguagem C encontra um caractere nulo e devolve um ponteiro tido como válido. O código então continua lendo além do ponto que deveria, acessando dados residuais que sobraram na memória. Na prática, esse “transbordamento” de leitura pode expor informações de outros usuários conectados ao mesmo proxy, algo especialmente perigoso em ambientes compartilhados.
O que torna o caso emblemático é a idade do bug: o trecho problemático foi introduzido em 1997 e sobreviveu a incontáveis revisões humanas. Foi preciso jogar o código contra uma IA treinada para raciocinar sobre programas para que o padrão suspeito finalmente saltasse aos olhos. É mais um capítulo da tendência de usar modelos de linguagem como aliados na auditoria de software antigo, em que a quantidade de linhas a revisar é grande demais para uma varredura manual completa.
Para o leitor brasileiro, o alerta é mais concreto do que parece. O Squid roda silenciosamente em redes corporativas, escolas, provedores e até em sistemas de Wi-Fi público — inclusive o de aviões. Se a instalação tiver o suporte a FTP ativo, que é o comportamento padrão, ela está exposta enquanto não for atualizada. A boa notícia é que a correção já chegou: ela foi incorporada ao Squid 8 em abril de 2026 e levada à versão 7.6 em junho. A recomendação dos especialistas é direta: atualizar imediatamente ou desligar o módulo de FTP em quem não precisa dele.
Mais do que o susto pontual, a Squidbleed reforça um recado para administradores de sistemas: software de infraestrutura que “só funciona” há anos também acumula dívidas de segurança. Revisar dependências antigas, manter pacotes atualizados e desativar funções que ninguém usa continua sendo o básico bem-feito que evita a próxima dor de cabeça.
