O Claude Mythos, modelo de IA desenvolvido pela Anthropic, tem chamado a atenção ao demonstrar capacidades de identificar vulnerabilidades, encadear falhas críticas e, em tese, automatizar etapas de ataque com intervenção humana quase ausente.
A fabricante informou que o Mythos encontrou falhas críticas em sistemas operacionais amplamente usados e expôs uma vulnerabilidade de 27 anos identificada no OpenBSD, o que abala a percepção de invulnerabilidade de ambientes tradicionalmente tidos como seguros.
No Firefox, a ferramenta teria produzido 271 exploits funcionais para vulnerabilidades, corrigidos na versão 150, sinalizando uma velocidade de descoberta acima do verificado no mercado atual.
Para controlar o risco de uso indevido, a Anthropic lançou o Projeto Glasswing, liberando o Mythos apenas para um clube restrito de empresas com o objetivo de antecipar correções antes que o conhecimento se torne difuso entre cibercriminosos. Entre os participantes divulgados estão AWS, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia e Palo Alto.
Neste cenário, a OpenAI respondeu com o GPT-5.4-Cyber, optando por ampliar o acesso de forma controlada a especialistas via programa de acesso supervisionado pelo site, com foco em workflows defensivos como revisão de código, engenharia reversa e pesquisa de vulnerabilidades.
Os analistas destacam os riscos de um laboratório mundial de engenharia reversa que, ao analisar inputs defensivos, poderia contribuir para treinar capacidades ofensivas; questiona-se também se gray/black hats verificados não poderiam obter acesso indevido, ampliando a ameaça. Ainda assim, a defesa precisa acelerar a velocidade de resposta, adotando IA na revisão de código, gestão de vulnerabilidades, testes de penetração contínuos, automação de GRC e caça a ameaças, para reduzir o tempo entre descoberta, correção e recuperação.
Ao final, o debate não é apenas sobre quem detém a IA mais poderosa, mas sobre como transformar velocidade em parte permanente da governança de segurança. A comunidade enfatiza a necessidade de métricas dinâmicas, inventário em tempo real, MFA resistente a phishing e segmentação de ativos para manter a vantagem frente ataques de IA em escala.
