Banco da Inglaterra convoca bancos britânicos para briefing sobre riscos cibernéticos do modelo Mythos da Anthropic

Em 16 de abril, o Banco da Inglaterra elevou o tema Claude Mythos Preview ao nível de risco sistêmico para todo o setor financeiro. Os reguladores estão preparando um briefing separado para os maiores bancos, seguradoras e bolsas após declarações de que o novo modelo da Anthropic é capaz de encontrar e explorar autonomamente vulnerabilidades em software crítico — de sistemas operacionais a navegadores. Trata-se de reuniões no âmbito do Cross Market Operational Resilience Group (CMORG) — uma plataforma que coordena a resiliência da infraestrutura financeira britânica.

Seus participantes incluem líderes de oito dos maiores bancos do país, representantes de quatro operadores de infraestrutura, dois grupos de seguros, bem como autoridades do Tesouro, Banco da Inglaterra, FCA e Centro Nacional de Segurança Cibernética. O simples fato de o tema ser elevado a este nível demonstra que o problema está sendo tratado não como mais uma notícia de TI, mas como uma questão de estabilidade de pagamentos, plataformas de negociação e serviços críticos. O catalisador é Claude Mythos Preview — um modelo da Anthropic ainda não lançado publicamente, cujo acesso a empresa concede apenas a um círculo limitado de parceiros.

De acordo com a Anthropic, o modelo já ajudou a identificar milhares de vulnerabilidades de alta severidade previamente desconhecidas, incluindo bugs em todos os principais sistemas operacionais e navegadores. A empresa também afirma que o modelo não apenas encontra pontos fracos, mas também pode construir cadeias de exploração com envolvimento humano mínimo. Um exemplo é a descoberta de um método pelo qual um site malicioso poderia obter acesso a dados de outro site, incluindo dados bancários.

Os reguladores estão particularmente preocupados porque isto não é uma demonstração em laboratório. A Anthropic explicou explicitamente que não está lançando Mythos Preview em acesso amplo precisamente por causa de suas capacidades cibernéticas. Entre os exemplos divulgados está uma vulnerabilidade de 27 anos no OpenBSD, bem como outros bugs que experts e testes automatizados deixaram de detectar por anos.

Para bancos, isto é particularmente sensível: uma porção significativa da indústria ainda depende de um stack legado complexo e heterogêneo, onde até mesmo uma única nova técnica de busca de exploração poderia drasticamente diminuir o tempo entre descoberta de vulnerabilidade e ataque real. A seriedade da situação é ressaltada pela reação internacional. Antes destas reuniões britânicas, discussões de emergência já ocorreram nos EUA e Canadá.

Em Washington, o tema foi levantado pelo Tesouro dos EUA e pelo Sistema de Reserva Federal junto com líderes dos maiores bancos sistemicamente importantes. Para reguladores, isto é um sinal de que modelos fronteira estão começando a afetar não apenas a produtividade de desenvolvedores, mas também o perfil de riscos sistêmicos: se tais ferramentas caírem nas mãos de atores maliciosos ou simplesmente superarem a preparação de equipes defensivas, serão precisamente os nós mais críticos — pagamentos, compensação, infraestrutura de negociação e serviços web bancários — que se tornarão mais vulneráveis. Em paralelo, a Anthropic lançou Project Glasswing — um programa de acesso controlado inicial para equipes defensivas.

Os parceiros nomeados incluem AWS, Apple, Google, Microsoft, Nvidia, Cisco e JPMorgan Chase. A empresa está prometendo até US$ 100 milhões em créditos para uso do Mythos e mais US$ 4 milhões em doações para organizações que trabalham em segurança open source. A lógica é direta: dar aos defensores uma vantagem inicial para que consigam encontrar e corrigir vulnerabilidades antes que capacidades similares se tornem generalizadas entre concorrentes ou vazar para o ecossistema atacante.

A conclusão principal para o setor financeiro é que o risco de IA deixou de ser um tema abstrato sobre o futuro. Se as declarações da Anthropic forem confirmadas, mesmo que parcialmente, na prática real, os bancos precisarão acelerar a inventariação de vulnerabilidades, revisar processos de patching e aprender a usar modelos similares para defesa. Caso contrário, pela primeira vez, a vantagem em velocidade e escala poderia passar não para equipes de segurança, mas para aqueles que automatizam ataques.