Anthropic apresentou Claude Mythos: IA para descoberta de zero-day muda o equilíbrio de poder na internet

A Anthropic apresentou Claude Mythos como um modelo capaz de encontrar autonomamente vulnerabilidades desconhecidas e transformá-las instantaneamente em cenários de ataque funcionais. Por isso a empresa optou por não lançar o sistema em acesso público: de acordo com sua própria descrição, tal IA não apenas pode apontar um ponto fraco, mas explorá-lo metodicamente, obter privilégios elevados e usar uma cadeia de erros para comprometer softwares críticos. Estamos falando sobre as chamadas vulnerabilidades zero-day — defeitos que os desenvolvedores ainda não conhecem e para os quais não existe correção pronta.

Se uma ferramenta consegue encontrar tais brechas mais rápido que humanos, o custo do fracasso sobe drasticamente. Em um modelo de defesa típico, as empresas têm tempo entre descobrir um problema e sua exploração em massa. Com tal IA, essa janela poderia quase desaparecer: descoberta, escrita de código, busca de formas de contornar a proteção e escalação de privilégio acontecem em um único ciclo sem trabalho manual prolongado.

A Anthropic afirma que Mythos poderia teoricamente conectar múltiplas vulnerabilidades para atingir o nível de sistemas operacionais principais e navegadores populares. Isso torna a história não um problema local de um único vendedor, mas uma questão de resiliência de toda a infraestrutura digital. Se essa abordagem realmente funciona, o equilíbrio entre atacantes e defensores muda: invadir não requer mais uma equipe de especialistas raros, mas pode contar com uma máquina que escala expertise, velocidade e persistência.

Nesse contexto, a empresa lançou Project Glasswing — um programa de acesso limitado para organizações que devem usar as capacidades do modelo para fins defensivos. Já foram nomeados 40 parceiros, e todos são americanos. Este é um detalhe importante: ferramentas capazes de simultaneamente fortalecer a segurança e criar risco sistêmico se concentram no centro do ecossistema digital americano.

Formalmente, trata-se de proteção preventiva, quando vulnerabilidades precisam ser fechadas antes que atores maliciosos as explorem. Mas na prática, significa que várias entidades privadas ganham acesso exclusivo a uma tecnologia cujo impacto vai muito além de suas próprias redes. O único parceiro externo fora dos EUA é o Reino Unido, onde o Instituto de Segurança em IA ganhou acesso ao sistema para testar modelos avançados.

Após se familiarizar com suas capacidades, ministros britânicos alertaram as empresas: IA tornará ataques cibernéticos significativamente mais fáceis, rápidos e baratos em um futuro próximo, e a maioria das empresas não está preparada. O próximo estágio, conforme dados disponíveis, pode ser testes em bancos europeus. Esta é uma escolha lógica: o setor financeiro entende melhor que outros o custo das vulnerabilidades, mas é particularmente sensível às consequências de erros na avaliação de risco.

A questão principal aqui não é apenas técnica, mas política. Quando um sistema consegue encontrar fraquezas universais em softwares amplamente utilizados, ele se torna um instrumento de poder infraestrutural. Então o que importa não é apenas quão bem funciona, mas quem decide quem ganha acesso, quais bugs fechar primeiro, onde fica a linha entre pesquisa e operações cibernéticas ofensivas, e como verificar as próprias reivindicações da empresa sobre controle de risco.

A internet aberta foi historicamente construída sobre descentralização e regras compartilhadas, não sobre alguns poucos atores vendo todas as rachaduras antes de todos os outros. O que isso significa. O surgimento de Claude Mythos mostra que a próxima fase da IA em segurança cibernética será determinada não apenas pela qualidade do modelo, mas pelos regimes de acesso.

Tecnologia que escala igualmente defesa e ataque requer não apenas patches, mas novas regras de prestação de contas. Caso contrário, o controle sobre segurança digital começará a se deslocar de instituições públicas e do ecossistema mais amplo para um círculo estreito de empresas privadas.