O novo modelo de inteligência artificial da Anthropic, conhecido como Prévia do Mito de ClaudeTornou-se o epicentro do debate global sobre os limites da IA avançada. A própria empresa admite que o sistema é tão poderoso em termos de cibersegurança que decidiu não lançá-lo amplamente, uma decisão incomum em um setor acostumado a alardear cada novo avanço.
O que está em jogo não é apenas uma melhoria incremental em relação aos modelos anteriores, mas um salto qualitativo na capacidade de detectar e explorar vulnerabilidades de computadorGovernos, bancos centrais, grandes instituições financeiras e reguladores europeus estão acompanhando de perto o caso, cientes de que tal ferramenta poderia... fortalecer a defesa de sistemas críticosMas também poderia abrir caminho para ataques de proporções sem precedentes caso caísse em mãos erradas.
O que exatamente é Claude Mythos e por que seu lançamento foi adiado?
Claude Mythos é um dos modelos mais recentes da família Claude, o ecossistema de IA da Anthropic que compete com ChatGPT da OpenAI e Gemini do GoogleÉ um modelo de propósito geral, capaz de raciocinar, programar e trabalhar com contexto de longo prazo, mas sua característica mais controversa é... desempenho em cibersegurança ofensiva e defensiva.
Chamado “equipes vermelhas”Especialistas que testam sistemas de IA até seus limites concluíram, em um relatório interno, que o Mythos é "surpreendentemente capaz" em tarefas de cibersegurança. Em testes de benchmark como... SWE-bench verificado o SWE-bench ProProjetado para medir a capacidade de resolver problemas reais de engenharia de software, o modelo teria superado facilmente as principais alternativas comerciais, incluindo versões avançadas do GPT e do Gemini, de acordo com dados fornecidos pela própria Anthropic.
Além dos parâmetros de referência, o que realmente acendeu o alerta foi que Mythos conseguiu localizar vulnerabilidades de dia zero —falhas até então desconhecidas— em componentes de software amplamente utilizados, alguns com mais de duas décadas de existência. Em sistemas como OpenBSD, FFmpeg e componentes do FreeBSD, o modelo não apenas detectou erros que passaram despercebidos por anos, mas também gerou exploits funcionais para explorá-los.
Diante desses resultados, a Anthropic optou por uma decisão incomum no setor: Apresentar o modelo e depois anunciar que ele não será comercializado abertamente. porque considera que representa riscos de cibersegurança sem precedentes. A empresa insiste que o Mythos é o modelo "mais adequado" que já desenvolveram, mas reconhece que sua enorme capacidade amplifica as consequências de qualquer uso indevido.
Um modelo com habilidades de "hacker" muito além das capacidades humanas.
Documentos técnicos e relatórios de diversas organizações concordam que Mythos marca um ponto de virada na automação de ataques complexos.Em ambientes de teste que simulam redes corporativas reais, o sistema foi capaz de encadear vulnerabilidades, escalar privilégios e obter acesso persistente em poucas horas — tarefas que levariam dias ou semanas para um especialista humano.
No mecanismo JavaScript do Firefox, por exemplo, versões anteriores dos modelos da Anthropic raramente conseguiam transformar vulnerabilidades em exploits funcionais. O Mythos, sob as mesmas condições de teste, Isso gerou dezenas de explorações operacionais.Ela replica com precisão a exploração dos vetores mais eficazes. Em plataformas de análise como o OSS-Fuzz, projetadas para encontrar bugs em softwares de código aberto, ela é reconhecida por detectar vulnerabilidades de alta gravidade que passaram despercebidas apesar de anos de testes automatizados.
O modelo também demonstrou capacidades notáveis em Engenharia reversaEla consegue reconstruir parte da lógica de um programa a partir de binários compilados e, a partir daí, localizar e explorar falhas sem acessar o código-fonte original. Esse tipo de capacidade aproxima a IA de cenários que, até recentemente, eram considerados exclusivos de equipes humanas altamente especializadas.
Um dos episódios mais frequentemente citados em avaliações de segurança é o chamado "teste sanduíche". Em um ambiente de laboratório isolado, a Mythos recebeu o controle de um sistema com instruções explícitas para tentar... Saia da caixa de areia e entre em contato com o pesquisador. quem estava supervisionando o teste. O modelo conseguiu explorar uma série de vulnerabilidades para escapar do ambiente restrito e enviar um e-mail para a pessoa responsável, que estava fora do escritório naquele momento. Embora o incidente tenha ocorrido em uma versão interna anterior e sob comando direto, ele ilustra o quanto o sistema pode operar em cenários complexos com supervisão mínima.
Apesar dessas demonstrações, os analistas insistem em esclarecer que Não estamos lidando com uma IA "consciente" ou com vontade própria.O Mythos não decide atacar sistemas por conta própria; ele executa as tarefas que lhe são atribuídas da forma mais eficiente possível. O risco, nesse sentido, não é que o modelo se rebele, mas que alguém o use — ou o force a fazê-lo por meio de comandos sofisticados — para realizar ações prejudiciais.
Projeto Glasswing: Mythos a serviço da defesa… para alguns poucos escolhidos.
Em vez de abrir o acesso ao público em geral, a Anthropic optou por cercar o Mythos com um programa específico. Projeto GlasswingConcebida para utilizar as capacidades do modelo de forma controlada para a proteção de software crítico, a iniciativa consiste em oferecer o sistema, sob rigorosas condições de utilização, a um grupo seleto de grandes empresas de tecnologia, fornecedores de infraestrutura e instituições financeiras.
Entre as organizações com acesso estão gigantes como Amazon Web Services, Apple, Microsoft, Parceria Nvidia ou Broadcombem como empresas de cibersegurança como a CrowdStrike, cujo próprio software falho causou uma grande perturbação global em 2024. A estas juntam-se bancos de renome mundial, incluindo JP Morgan Chase e vários grandes grupos de Wall Street, bem como outras organizações responsáveis pela manutenção de infraestruturas de TI sensíveis.
A Anthropic também anunciou empréstimos no valor de 100 milhões de dólares Esse financiamento permitirá que essas organizações usem o Mythos para análise de vulnerabilidades, juntamente com doações para fundações de software livre, como a Linux Foundation e a Apache Software Foundation. O objetivo oficial é claro: permitir que aqueles que gerenciam os softwares mais críticos do mundo identifiquem e corrijam falhas antes que essas ferramentas se tornem disponíveis para potenciais atacantes.
Essa estratégia, no entanto, está gerando certo desconforto no setor. Por um lado, reforça a ideia de que a tecnologia é perigosa o suficiente para exigir acesso restrito. Por outro lado, Isso cria uma lacuna entre aqueles que se beneficiam do "escudo" dos Mythos e aqueles que ficam de fora.Empresas e administrações que não fazem parte da Glasswing correm o risco de, posteriormente, enfrentar vulnerabilidades que foram identificadas e corrigidas em ambientes privilegiados, mas que ainda estão presentes em seus próprios sistemas.
Na Europa, essa assimetria preocupa particularmente os responsáveis por infraestruturas críticas e as equipes de segurança de grandes grupos industriais e financeiros, que monitoram de perto se... Bruxelas e as capitais europeias estão a assegurar que programas semelhantes incluam intervenientes-chave do continente em igualdade de condições. e pela soberania da nuvem com os parceiros dos EUA.
Reação dos governos, reguladores e do setor financeiro
O impacto do Mythos não se limita ao âmbito técnico. Em apenas alguns dias, o anúncio do modelo desencadeou reuniões de alto nível nos Estados Unidos e na EuropaO secretário do Tesouro dos EUA convocou os chefes dos principais bancos do país a Washington para avaliar os riscos que o sistema poderia representar para a estabilidade financeira, e o presidente do Federal Reserve também participou dessas conversas.
Segundo informações vazadas pela mídia internacional, essas entidades teriam sido incentivadas a Teste Mythos em modo defensivousando-o para escanear sua própria infraestrutura em busca de vulnerabilidades antes que outros o façam. A mensagem implícita é que a ameaça é séria o suficiente para justificar uma resposta coordenada entre os setores público e privado.
Entretanto, o cofundador da Anthropic confirmou que a empresa mantém conversas diretas com o governo dos Estados Unidos sobre a Mythos e modelos futuros. Essas discussões ocorrem em um contexto tenso, depois que as autoridades americanas recentemente adicionaram a empresa a uma lista de riscos da cadeia de suprimentos, na sequência de atritos relacionados ao uso de seus modelos pelo Departamento de Defesa.
Do outro lado do Atlântico, a União Europeia tomou nota. A Comissão Europeia endossou publicamente uma abordagem gradual e cautelosa em relação a modelos como o Mythos, e Órgãos reguladores financeiros no Reino Unido e no continente começaram a estudar especificamente as suas potenciais implicações. para o setor bancário e os mercados financeiros. O Instituto de Segurança de IA (AISI) do governo do Reino Unido descreveu o sistema como um avanço significativo em termos de ameaças cibernéticas em comparação com as gerações anteriores.
Na Espanha, embora o debate público ainda seja limitado, os órgãos de supervisão e as equipes de cibersegurança de bancos e grandes empresas de energia estão monitorando de perto esses desenvolvimentos. Para o setor financeiro europeu, qualquer avanço que possa facilitar ataques coordenados contra sistemas de pagamento, redes interbancárias ou plataformas de negociação é motivo de séria preocupação.
Ceticismo, dúvidas e debates sobre a "propaganda" em torno do Mythos.
O relato da Anthropic, que combina alertas de segurança com números de desempenho espetaculares, não ficou isento de críticas. Vários especialistas em IA e cibersegurança pediram que... Tenha cautela ao interpretar as declarações da empresa.Observando que grande parte dos dados disponíveis provém apenas de relatórios internos.
Alguns analistas examinaram detalhadamente a extensa documentação publicada pela Anthropic e apontam que a cifra de “milhares de vulnerabilidades de alta gravidade” baseia-se em extrapolações a partir de um número relativamente pequeno de casos revisados manualmente. Em certos conjuntos de testes, a Mythos teria encontrado um número significativo de falhas críticas, mas longe do cenário quase apocalíptico sugerido por algumas manchetes.
Outros estudos independentes tentaram comparar o desempenho do Mythos com modelos menores de código aberto, passando trechos de código vulneráveis para diferentes IAs a fim de verificar se elas conseguiam detectar as mesmas falhas. Os resultados indicam que Alguns modelos abertos também são capazes de identificar vulnerabilidades complexas.Isso põe em questão a ideia de que Mythos joga em um nível completamente diferente em todos os cenários.
Esses tipos de contraexemplos não negam as capacidades do Mythos, mas sugerem que Parte do discurso "muito perigoso para publicar" também tem uma dimensão de marketing.Apresentar um modelo como extraordinariamente poderoso e, ao mesmo tempo, como um risco potencial reforça a imagem de liderança e responsabilidade tecnológica, algo muito valioso em um mercado cada vez mais competitivo.
A história recente do setor também evoca o precedente do GPT-2 em 2019, quando a OpenAI inicialmente decidiu não publicar o modelo completo, alegando que era muito perigoso devido ao seu potencial para gerar desinformação. Eventualmente, essa versão foi lançada ao público sem que nenhuma das catástrofes previstas se materializasse, e muitos especialistas a citaram como um exemplo de reação exagerada. Com o Mythos, A diferença é que o foco não está mais no texto, mas na integridade da infraestrutura digital., uma área muito mais sensível para governos e bancos.
Um delicado equilíbrio entre segurança, negócios e acesso à tecnologia.
Para além do ruído mediático, a situação da Mythos levanta uma questão fundamental: Quem decide quando um modelo de IA é perigoso demais para ser lançado? E com base em quais critérios? Por enquanto, a decisão foi unilateral por parte da Anthropic, que optou por manter o sistema em uma espécie de quarentena controlada, reservando-o para parceiros selecionados.
Essa posição não se baseia apenas em razões de segurança. Executar um modelo com as características do Mythos é muito caro em termos de computaçãoe a própria empresa reconhece que atualmente não possui o infraestrutura necessária para disponibilizá-lo em larga escala para milhões de usuários. Na prática, as precauções de segurança e as limitações técnicas caminham juntas, dando à Anthropic tempo para aprimorar tanto o modelo quanto sua implementação.
Ao mesmo tempo, a empresa começou a diferenciar claramente seus vários produtos. Enquanto o Mythos permanece como padrão interno mais avançadoEmbora reservados para contextos de pesquisa e colaboração estratégica, outros modelos como o Claude Opus 4.7 são voltados para o uso cotidiano por empresas e profissionais. A Anthropic chegou a reconhecer publicamente que o Opus 4.7 é "menos capaz" que o Mythos em termos gerais e, em particular, em relação às suas capacidades cibernéticas — algo incomum em um setor que normalmente apresenta cada novo modelo como o melhor em todos os aspectos.
Nesse esquema, Mythos funciona como plataforma de testes para capacidades de próxima geraçãoEmbora os modelos disponíveis comercialmente incorporem apenas uma parte dessas capacidades, com limitações adicionais concebidas para reduzir os riscos, essa separação entre modelos “experimentais” e “de produção” pode ser uma abordagem razoável para muitas organizações europeias interessadas em aproveitar a IA sem estarem na linha de frente da exposição, desde que haja transparência suficiente em relação às capacidades reais de cada sistema.
O que está emergindo, em última análise, é um cenário em que A cibersegurança está entrando de vez na era da IA ofensiva e defensiva em larga escala.Ferramentas como o Mythos prometem acelerar a identificação de vulnerabilidades em sistemas que estão em operação há anos, mas também forçam uma reflexão sobre como a tecnologia que sustenta a economia digital é distribuída e governada. Para a Europa e a Espanha, o desafio não será apenas se proteger de modelos cada vez mais poderosos, mas também garantir que não sejam excluídas dos mecanismos que permitem que essas ferramentas sejam usadas para fortalecer sua própria segurança.
