Anthropic Apresentou Mythos: Novo Modelo de IA Amplificou Significativamente a Detecção e Exploração de Vulnerabilidades

A Anthropic parece ter apresentado uma das primeiras ferramentas de IA que muda não apenas a velocidade, mas a própria mecânica da cibersegurança: primeiros testadores chamam o Mythos de um sistema notavelmente mais poderoso do que os modelos anteriores da empresa, e o acesso a ele está intencionalmente limitado por enquanto para dar aos defensores uma vantagem antes que capacidades semelhantes caiam nas mãos de criminosos. Mythos é o novo modelo da Anthropic para programação e tarefas baseadas em agentes, mas é especificamente na cibersegurança onde o salto se mostrou mais significativo. A empresa decidiu não lançá-lo para acesso amplo e iniciou o programa fechado Project Glasswing.

Participam Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks. A lógica é simples: primeiro entregar o modelo àqueles que mantêm infraestrutura crítica e grandes bases de código para que tenham tempo de encontrar e corrigir vulnerabilidades. Um nuance importante é que o Mythos não parece um modelo estreito de "hacker".

A Anthropic o descreve como o sistema de propósito geral mais poderoso para código e tarefas de agentes, e chama as capacidades de cibersegurança de efeito colateral desse crescimento. Quanto melhor um modelo entende grandes projetos, reescreve código e executa autonomamente longas cadeias de ações, melhor encontra e explora fraquezas. É exatamente por isso que a empresa fala não de uma atualização local, mas de cruzar um limiar após o qual as medidas de segurança anteriores não são mais suficientes.

De acordo com feedback de parceiros iniciais, o Mythos lida não apenas com descoberta de vulnerabilidades melhor do que gerações anteriores, mas também com tarefas que normalmente exigem engenheiros experientes de segurança ofensiva: reproduzir o problema, entender o caminho do ataque e encadear múltiplas vulnerabilidades em uma cadeia de exploração funcional. A Anthropic afirma explicitamente que seu anterior Opus 4.6 era quase incapaz de levar autonomamente erros descobertos a um exploit funcional.

Em um benchmark interno baseado em Firefox, o modelo antigo alcançou apenas um punhado de execuções bem-sucedidas, enquanto o Mythos conseguiu repetidamente desenvolver ataques a um estado funcional. Uma avaliação independente do British AI Security Institute adiciona números a essas avaliações. Em tarefas de nível especialista, o modelo mostrou 73% de sucesso, e em um ataque corporativo simulado com 32 passos, tornou-se o primeiro sistema a executar com sucesso o cenário desde reconhecimento até comprometimento completo da rede.

Conseguiu concluir a cadeia completa em 3 de 10 tentativas, e em média progrediu através de 22 dos 32 passos. Isso importa não porque a IA "inventou" repentinamente um novo tipo de violação, mas porque começou a automatizar estágios longos e caros para humanos. Por enquanto, a Anthropic enfatiza o caso de uso defensivo.

A empresa afirma que o Mythos já ajudou a identificar milhares de vulnerabilidades zero-day em software crítico e alocou US$ 100 milhões em créditos de computação para o programa de acesso antecipado. Mas o lado negativo é óbvio: o que ajuda com patching e auditoria hoje pode acelerar operações de invasores amanhã. Parceiros do projeto alertam explicitamente que a janela entre descoberta de vulnerabilidade e exploração prática está encolhendo de meses para minutos, especialmente se o modelo consegue agir como um agente e não perde contexto em grandes bases de código.

Para o mercado, este é um sinal apontando em duas direções. Primeiro, defesa cibernética deixa de ser um processo que pode ser tratado com auditorias infrequentes e patches programados: se modelos do nível do Mythos se tornarem realidade, a defesa também deve se tornar quase contínua. Segundo, o risco primário muda dos próprios "super-modelos" para a qualidade da infraestrutura ao seu redor.

Grandes empresas com equipes de segurança fortes provavelmente integrarão tais ferramentas em suas defesas mais rapidamente. Pior ainda são pequenas e médias organizações com sistemas legados acumulados, ciclos longos de atualização e falta de especialistas. Para elas, a chegada do Mythos pode não ser uma notícia abstrata do mundo da IA, mas um aviso direto.