Anthropic Restringe Acesso ao Claude Mythos Devido a Riscos Globais de Cibersegurança

A Anthropic efetivamente pausou o lançamento público do Claude Mythos, reconhecendo um fato simples: um modelo capaz de encontrar sistematicamente e encadear vulnerabilidades críticas pode ser útil para defensores, mas em mãos erradas rapidamente se torna uma ferramenta de ataques. A situação foi agravada por relatos de acesso não autorizado ao Mythos por um pequeno grupo de usuários. Se nem mesmo um sistema fechado é fácil manter sob controle, a questão já não é se tais capacidades aparecerão no mercado, mas quem se preparará primeiro.

Mythos é o novo modelo da Anthropic, apresentado em 7 de abril de 2026. A empresa afirma que pode encontrar e potencialmente explorar vulnerabilidades zero-day em sistemas operacionais e navegadores chave. Trata-se de defeitos que os desenvolvedores ainda não conhecem e, consequentemente, não corrigiram.

De acordo com a própria Anthropic, alguns dos problemas descobertos permaneceram despercebidos por dez, vinte e até vinte e sete anos. Em seu relatório técnico, a empresa escreve que Mythos foi capaz de construir automaticamente exploits complexos, incluindo a combinação de múltiplas vulnerabilidades em uma única cadeia. É precisamente por isso que o modelo não foi lançado para acesso público: o risco é muito alto de que tais capacidades sejam usadas não apenas para defesa, mas também para invasões.

Ao mesmo tempo, a Anthropic não escondeu completamente o Mythos. Cerca de 40 empresas e organizações dos setores de tecnologia, infraestrutura e finanças ganharam acesso através do Project Glasswing para encontrar fraquezas em sistemas críticos antes que ferramentas semelhantes se tornem generalizadas. Os principais atores já se reuniram ao redor do projeto, e autoridades e reguladores começaram a discutir não uma ameaça abstrata mas cenários bem práticos: o que acontecerá se uma ferramenta assim acabar nas mãos de atacantes.

O interesse dos bancos no tema é compreensível. Na pior das hipóteses, ataques a serviços críticos poderiam levar a interrupções em operações bancárias online, pagamentos, caixas eletrônicos e cadeias de liquidação relacionadas. Mesmo sem um cenário catastrófico, o mero fato da existência de tal ferramenta muda o equilíbrio entre a velocidade de descoberta de uma vulnerabilidade e a velocidade de seu reparo.

As preocupações intensificaram-se após relatos de que várias pessoas podem ter ganho acesso não autorizado ao Mythos através do ambiente fechado. A Anthropic declarou que está investigando este incidente. Para a indústria, este é um sinal alarmante em dois níveis.

Primeiro, nem mesmo um lançamento limitado garante isolamento completo do modelo. Segundo, quanto mais valiosos e perigosos tais sistemas são, maior é o incentivo para contornar barreiras organizacionais e técnicas. Neste contexto, a questão chave se desloca de "quão poderoso é o modelo em si" para "quão confiável é o ambiente ao seu redor estruturado" — desde controle de acesso e auditoria de ações até regras para divulgar vulnerabilidades descobertas.

Porém, há uma ressalva importante em torno do Mythos. Avaliações independentes confirmam um salto notável nas capacidades cibernéticas do modelo, mas não fornecem motivos para pânico infundado. O British AI Security Institute relatou que Mythos foi o primeiro modelo a passar completamente sua simulação de ataque corporativo de 32 passos, embora em apenas 3 de 10 tentativas.

Em tarefas de nível especialista como capture-the-flag, o modelo mostrou uma taxa de sucesso de 73%. Mas o próprio instituto enfatiza separadamente: estes testes foram conduzidos em ambientes vulneráveis e mal protegidos, sem defensores ativos e sem um conjunto completo de ferramentas de monitoramento. Em outras palavras, não é sobre capacidade comprovada de invadir qualquer banco ou nuvem bem protegida ao toque de um botão, mas que o limiar para ataques complexos está diminuindo rapidamente.

Além disso, alguns pesquisadores acreditam que Mythos não é um rompimento mágico com a geração anterior, mas uma aceleração de uma tendência já em andamento: outros modelos mais baratos também estão aprendendo a encontrar bugs individuais perigosos, embora menos estavelmente e pior em cenários multietapas longos. A conclusão principal é simples: Claude Mythos é importante não como uma sensação singular, mas como um sinal de uma nova fase na cibersegurança. Se tais modelos realmente podem encontrar fraquezas mais rápido que as pessoas e cada vez mais convertê-las em cadeias de ataque funcionais, as empresas precisarão acelerar a gestão de patches, fortalecer controle de acesso, logging e processos internos de resposta.

E para reguladores e as próprias empresas de IA, é também uma questão de governança: quem obtém acesso a sistemas deste nível, sob quais regras, e o que acontecerá quando capacidades semelhantes aparecerem com concorrentes ou em modelos abertos.