Descoberta massiva de falhas de segurança em apenas 30 dias
A Anthropic revelou os resultados iniciais do Projeto Glasswing, uma iniciativa que emprega inteligência artificial para detectar vulnerabilidades em softwares antes que estas sejam exploradas em ataques cibernéticos. De acordo com a empresa, o Claude Mythos Preview auxiliou parceiros da desenvolvedora a localizar mais de 10 mil falhas consideradas críticas ou de alta gravidade em somente um mês de operação.
A companhia destacou que a velocidade na descoberta de vulnerabilidades aumentou de maneira exponencial. “O progresso na segurança de software costumava ser limitado pela rapidez com que conseguíamos encontrar novas vulnerabilidades. Agora, ele é limitado pela rapidez com que conseguimos verificar, divulgar e corrigir o grande número de vulnerabilidades encontradas pela IA”, afirmou.
Dentre os parceiros do projeto, estão empresas como Cloudflare, Mozilla, Oracle, Palo Alto Networks, Amazon Web Services, Apple, Google, Nvidia, JPMorgan Chase e CrowdStrike.
A Cloudflare comunicou ter identificado aproximadamente 2 mil bugs utilizando o Mythos Preview, incluindo 400 considerados críticos ou de alta gravidade. A Mozilla reportou a detecção e correção de 271 vulnerabilidades no Firefox durante os testes com o modelo, um número mais de dez vezes superior ao registrado em edições anteriores do navegador analisadas com outros modelos Claude.
Segundo a Anthropic, diversos parceiros relataram um aumento superior a dez vezes na taxa de detecção de falhas. A empresa também afirma que o modelo influenciou diretamente o crescimento no volume de atualizações de segurança disponibilizadas por gigantes da tecnologia. A Microsoft, por exemplo, já havia alertado que seus pacotes de correção continuariam se expandindo “por algum tempo”.
Mythos não será disponibilizado publicamente
Apesar dos resultados positivos, a Anthropic informou que não pretende liberar o Mythos Preview ao público neste momento. A empresa alega que ainda não existem salvaguardas suficientemente robustas para impedir o uso malicioso de modelos desse tipo.
A desenvolvedora afirma que planeja colaborar com governos, incluindo os Estados Unidos e aliados, para expandir o Projeto Glasswing enquanto desenvolve mecanismos de proteção antes de lançar comercialmente “modelos da classe Mythos”. O temor é que ferramentas altamente avançadas de detecção de falhas também possam ser empregadas para acelerar ataques cibernéticos em larga escala.
“A Glasswing ajuda os defensores cibernéticos mais importantes a obterem uma vantagem assimétrica”, declarou a empresa. “Mas existe uma necessidade urgente de que o maior número possível de organizações reforce suas defesas cibernéticas”.
Código aberto sob escrutínio da IA
Além dos sistemas corporativos de seus parceiros, a Anthropic revelou que utilizou o Mythos Preview para examinar mais de mil projetos de código aberto amplamente empregados na infraestrutura da internet.
- Segundo a empresa, o sistema identificou 23.019 possíveis vulnerabilidades, das quais 6.202 foram classificadas inicialmente como críticas ou de alta gravidade.
- Após processos de validação conduzidos pela própria Anthropic e por empresas independentes de segurança, 1.587 vulnerabilidades foram confirmadas como verdadeiras.
- Destas, 1.094 realmente apresentavam gravidade alta ou crítica.
Um dos casos citados pela empresa envolve a biblioteca de criptografia wolfSSL, usada em bilhões de dispositivos. O Mythos Preview encontrou uma vulnerabilidade que permitiria a falsificação de certificados digitais, abrindo espaço para ataques capazes de simular sites legítimos de bancos ou provedores de e-mail. A falha já foi corrigida e recebeu o identificador CVE-2026-5194.
Segundo a Anthropic, o principal gargalo agora não está mais na descoberta dos problemas, mas na capacidade humana de validar, relatar e corrigir as falhas encontradas pela IA. A empresa revelou ainda que o Mythos Preview já começou a ser usado além da busca por falhas de software. Um banco parceiro do Glasswing utilizou o sistema para detectar e impedir uma transferência fraudulenta de US$ 1,5 milhão após criminosos comprometerem a conta de e-mail de um cliente e realizarem chamadas telefônicas falsas.
A desenvolvedora também anunciou novas ferramentas de segurança baseadas em IA para clientes corporativos do Claude Enterprise, incluindo sistemas automatizados de análise de código, identificação de vulnerabilidades e geração de sugestões de correção.
