Fintechs indianas buscam acesso ao Mythos da Anthropic por riscos de cibersegurança

As empresas fintech indianas estão buscando acesso ao Claude Mythos antes de seu lançamento público não por curiosidade, mas por razões defensivas. Para os agentes que gerenciam pagamentos, créditos e vastos conjuntos de dados de clientes, o novo modelo da Anthropic não parece outra novidade de IA, mas sim uma ferramenta capaz de reduzir drasticamente o tempo entre a descoberta de uma vulnerabilidade e um ataque real. Portanto, solicitações de acesso antecipado aqui significam uma coisa simples: verificar sua própria infraestrutura antes que alguém mais o faça. Em tal mercado, até algumas horas de vantagem podem importar quando se trata de gateways de pagamento, sistemas anti-fraude e integrações bancárias.

Entre as empresas buscando acesso estão One97 Communications, Razorpay e Pine Labs. Sua lógica é clara: se Mythos realmente se destaca em encontrar pontos fracos melhor que a maioria dos especialistas, então as principais plataformas financeiras se beneficiam mais ao usá-la para auditorias internas do que ao esperar por capacidades semelhantes nas mãos de atores maliciosos. De acordo com o chefe da One97, a conversa com a Anthropic abordou não apenas cronogramas de acesso, mas também exatamente como a empresa planeja implantar o modelo, indicando verificação rigorosa do usuário.

Anthropic não está planejando abrir Mythos para todos. Em vez disso, a empresa lançou o Project Glasswing—um programa controlado que inclui grandes empresas de tecnologia e segurança cibernética, incluindo Amazon Web Services, Microsoft, Apple, Google, NVIDIA, Cisco, CrowdStrike e JPMorganChase. Mais de 40 organizações adicionais responsáveis por infraestrutura crítica de software receberam acesso limitado para tarefas defensivas. Anthropic alocou até US$ 100 milhões em créditos para uso do modelo e outros US$ 4 milhões em suporte direto para organizações de segurança de código aberto através deste programa.

A razão dessa cautela decorre das capacidades declaradas do modelo. Anthropic afirma diretamente que o modelo atingiu um nível onde supera quase todos, exceto os especialistas mais fortes, na descoberta e exploração de vulnerabilidades de software. De acordo com a empresa, Mythos Preview já descobriu milhares de vulnerabilidades de alta criticidade, incluindo em cada sistema operacional principal e cada navegador da web principal. Isso não é meramente auditoria estática de código: o modelo é usado para buscar problemas zero-day, testes black-box de binários, aprimorando proteção de endpoint e realizando testes de penetração completos.

A empresa afirma que alguns dos problemas descobertos passaram despercebidos por anos, e em vários casos, o modelo poderia não apenas identificar o bug, mas também fornecer um caminho de exploração funcional. Os relatórios da Anthropic também afirmam que na verificação manual, especialistas concordaram com a avaliação de gravidade de vulnerabilidade do modelo em 89% dos 198 casos revisados, e em 98% estavam no máximo um nível afastados.

Para bancos e fintech, isso é particularmente sensível: sua pilha é normalmente complexa, interconectada com parceiros e frequentemente depende de componentes legados que são difíceis de atualizar rapidamente sem risco comercial.

O mercado indiano reagiu rapidamente. A associação autorreguladora FACE, que reúne mais de 275 empresas do ecossistema e é reconhecida pelo RBI, recomendou aos participantes fortalecer a proteção, acelerar o patch de vulnerabilidades conhecidas, estabelecer monitoramento contínuo e relatar imediatamente incidentes suspeitos aos reguladores. Para a indústria, essa não é uma ameaça abstrata: a fintech na Índia cresceu em uma densa rede de APIs, aplicativos móveis, serviços de pagamento e integrações de terceiros, o que significa que uma cadeia de exploração bem-sucedida pode se espalhar rapidamente entre vários atores do mercado.

Contra esse pano de fundo, pedidos de acesso ao Mythos não parecem tentativas de ganhar vantagem competitiva, mas sim uma medida de alerta precoce. Preocupações semelhantes já são visíveis fora da Índia: nos EUA e no Reino Unido, reguladores, bancos centrais e grandes bancos discutiram separadamente como esses modelos poderiam acelerar ataques cibernéticos complexos mais rápido do que o mercado consegue reconstruir suas defesas.

O principal é que modelos como Mythos mudam fundamentalmente a economia da segurança cibernética. Anteriormente, encontrar vulnerabilidades profundas exigia expertise rara, semanas de trabalho e equipes caras; agora esse processo pode ser comprimido em horas e escalar muito mais amplamente. Para fintech, isso significa uma nova corrida: a defesa deve usar as mesmas ferramentas que potencialmente fortalecem os atacantes.

Quanto mais cedo as principais plataformas de pagamento puderem testar seus sistemas no modo defensivo, maior será a chance de reduzir a janela de vulnerabilidade. Mas simultaneamente, outra questão cresce: se o acesso a tais sistemas permanecer apenas com um círculo limitado de empresas e estados, o recurso estratégico não será apenas capital ou dados, mas a própria capacidade de encontrar pontos fracos na infraestrutura financeira digital mais rápido que qualquer outro.