Anthropic e Mythos: por que uma ameaça aos bancos rapidamente se tornou um risco para todos

A Anthropic lançou Mythos como um modelo perigoso de liberar em acesso aberto, e com isso deslocou a conversa sobre IA do plano de "é mais conveniente trabalhar" para o plano de "conseguimos nos proteger a tempo". À primeira vista, a preocupação parece uma história apenas sobre bancos: após o anúncio, o secretário do Tesouro americano Scott Bessent reuniu executivos de Wall Street e exigiu garantias de que seus sistemas estão prontos para uma nova onda de riscos cibernéticos. Mas a conclusão mais desagradável é outra: se até organizações com os perímetros de TI mais protegidos do mundo estão nervosas com esse modelo, então para milhares de empresas comuns a ameaça é ainda maior.

Pelos dados e avaliações iniciais, Mythos de fato difere dos modelos massivos familiares como ChatGPT ou Gemini justamente em cenários cibernéticos. Pesquisas citadas no material mostram que o modelo é melhor adaptado a ataques complexos e é particularmente perigoso para sistemas simplificados, "mal protegidos". Ao mesmo tempo, o acesso a ele está sendo buscado não apenas por grandes empresas, mas também por estruturas governamentais: entre as primeiras organizações com acesso está o Instituto Britânico de Segurança de Inteligência Artificial, e o Tesouro americano também insiste em conexão.

O próprio fato de tal interesse mostra que isso não é mais sobre demonstrar o poder de outra IA, mas sobre uma ferramenta que pode mudar o equilíbrio entre ataque e defesa. O problema resume-se ao modelo antigo de resposta a vulnerabilidades. Por muitos anos, o mercado viveu por um esquema de divulgação responsável: o fornecedor encontra um buraco, publica detalhes, lança um patch, e os clientes tranquilamente testam a atualização e a implantam em toda a infraestrutura.

A própria Microsoft transformou isso em um processo regular, conhecido como Patch Tuesday. Em grandes bancos como Barclays ou Wells Fargo, correções passam por uma longa rota: verificação, coordenação, avaliação de riscos para sistemas operacionais e apenas depois implementação. Antes, isso funcionava porque atacantes também precisavam de tempo para estudar a descrição do bug, pensar em um método de exploração e levar o ataque a um estado funcional.

IA generativa e depois modelos agentes começaram a quebrar essa lógica. Agora um sistema pode não apenas ler publicações sobre vulnerabilidades, mas também procurar por fraquezas semelhantes em código aberto, experimentar variações de ataque e ligar vários pequenos erros em um ataque de múltiplas etapas. Por causa disso, a janela para defesa encolhe drasticamente.

De acordo com zerodayclock.com, o tempo médio entre descoberta de vulnerabilidade e aparecimento de um exploit funcional diminuiu de 771 dias em 2018 para menos de quatro horas agora. É aqui que fica claro por que o pânico em torno de Mythos não deve se limitar a Wall Street.

Hackers "de chapéu preto" nunca gostaram particularmente de atacar bancos, onde há um alto nível de controle e proteção em múltiplas camadas. É muito mais lucrativo atacar hospitais, contratantes, serviços regionais ou uma pequena loja com infraestrutura mal configurada e exigir resgate. Se modelos como Mythos baixam a barreira de entrada para tais ataques e aceleram sua preparação, então a zona principal de risco se desloca para onde há menos pessoas, menos orçamento e quase nenhum tempo para responder.

Ao mesmo tempo, a história fortalece a aura da própria Anthropic como a empresa que primeiro designou publicamente um novo limite de perigo. A questão principal agora não é quem exatamente terá acesso a Mythos, mas se a velocidade anterior da defesa cibernética é viável. Se apenas algumas horas permanecem entre a divulgação de uma vulnerabilidade e um ataque real, ciclos de patch mensais começam a perder seu significado.

Bancos podem conseguir fazer a transição para atualizações quase contínuas, verificação automatizada e gerenciamento de mudanças mais rigoroso. Pequenas e médias empresas sem serviços baratos de proteção, novos requisitos de fornecedores e provavelmente ajuda regulatória terão uma dificuldade muito maior. É por isso que Mythos é importante não como outro modelo sensacional, mas como um aviso: a era em que se davam semanas e meses para corrigir erros está terminando.