A aceleração na produção de código impulsionada por modelos de linguagem expôs uma lacuna nos testes de segurança entre falhas detectáveis por padrões e vulnerabilidades dependentes de contexto; a Snyk aposta no Evo COS, que usa sinais de SAST, SCA, DAST e inventários de ativos para alimentar agentes de IA capazes de encontrar cadeias de exploração, testar integrações com LLMs (como prompt injection e exfiltração de dados) e entregar resultados acionáveis para priorizar correções em tempo contínuo.
A velocidade com que a inteligência artificial vem produzindo código virou um problema para a segurança.
Testes e cronogramas tradicionais simplesmente não estavam preparados para esse ritmo.
Por isso empresas como a Snyk defendem que testes ofensivos contínuos e com entendimento de contexto vão tornar o pentest anual obsoleto.
Esse movimento responde a um gap de cobertura entre varreduras heurísticas e falhas dependentes do contexto, como autorização indevida e lógica de negócio.
Nuno Loureiro, da Snyk, classifica as vulnerabilidades em duas categorias: as detectáveis por padrões e aquelas que só aparecem quando se entende o que a aplicação deveria fazer.
Segundo ele, “The vulnerability lives in the gap between intended behavior and actual behavior.”
O diferencial que a Snyk apresenta é a ideia de que um pentester de IA só é realmente eficaz quando parte do contexto que a própria plataforma já tem — SAST, SCA, DAST e inventários de ativos alimentando o agente antes do primeiro request.
A solução Evo COS recebe esses sinais e usa esse contexto para priorizar e construir cadeias de exploração, em vez de soltar uma lista ranqueada de alertas.
Ela também traz o que a Snyk chama de Agent Red Teaming, focado na superfície de ataque gerada por aplicações integradas a LLMs — coisas como prompt injection, exfiltração de dados via outputs do modelo e jailbreaks que transformam agentes em atores privilegiados.
A camada de reconhecimento detecta componentes LLM automaticamente e dispara o red teaming quando encontra esses pontos, algo que a Snyk afirma ser importante porque muitas equipes não têm inventário claro de onde a IA roda em produção.
No mercado há várias ofertas parecidas, incluindo Aikido, Beagle Security e players tradicionais como Checkmarx, Veracode e PortSwigger.
Vendedores de Application Security Posture Management aparecem bem posicionados para essa corrida, já que conseguem correlacionar resultados ofensivos com SAST, DAST, SCA, IaC e segurança em nuvem e aplicar contexto de negócio para priorizar correções.
Outro diferencial citado é a capacidade de abrir pull requests automatizados que consertam vulnerabilidades sem introduzir regressões.
A Snyk já colocou o Evo COS em early access com parceiros de design em serviços financeiros e tecnologia empresarial e mira a disponibilidade geral para o Black Hat USA em agosto de 2026.
