A IA que caça falhas antes que hackers possam usa-las
Em um mês de operação, o modelo Claude Mythos Preview, da Anthropic, identificou mais de 10.000 vulnerabilidades criticas em softwares amplamente utilizados ao redor do mundo, incluindo todos os principais sistemas operacionais e navegadores. Os números, divulgados em uma atualização do Project Glasswing em 22 de maio de 2026, revelam uma mudança de escala sem precedentes na segurança digital: a inteligência artificial generativa não é mais apenas uma ferramenta de produtividade – ela se tornou um sensor de segurança de dimensões industriais.
O feito levanta questões urgentes sobre o papel dos modelos de linguagem de grande escala na infraestrutura critica global e sobre os riscos de uma tecnologia poderosa o suficiente para ser considerada perigosa demais para o publico em geral.
O que e o Project Glasswing
Lancado pela Anthropic em parceria com 11 grandes organizações, o Project Glasswing e uma iniciativa colaborativa de cibersegurança que tem como objetivo utilizar modelos de IA de fronteira para identificar e corrigir vulnerabilidades em softwares criticos antes que agentes maliciosos as descubram e as explorem.
Os parceiros de lançamento incluem nomes como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks – uma constelação de empresas que, juntas, controlam boa parte da infraestrutura tecnologica mundial. No total, mais de 40 organizações têm acesso ao modelo no contexto do projeto.
A Anthropic comprometeu 100 milhões de dolares em creditos de uso do modelo e mais 4 milhões de dolares em doações diretas a organizações de segurança de codigo aberto, incluindo 2,5 milhões para a Alpha-Omega/OpenSSF via Linux Foundation e 1,5 milhão para a Apache Software Foundation.
Claude Mythos Preview: o modelo que nao pode ser liberado ao publico
O Claude Mythos Preview é descrito pela Anthropic como seu modelo de fronteira mais poderoso ate hoje – especialmente capaz em tarefas de codificação e operações autonomas. Sua eficiência em cibersegurança decorre de sua capacidade de compreender profundamente sistemas de software complexos, identificar padrões de vulnerabilidade e, em alguns casos, construir exploits funcionais para demonstrar que a falha e real e exploravel.
Justamente por isso, a empresa optou por não tornar o modelo disponivel ao publico em geral. A logica e clara: um modelo que consegue encontrar e explorar milhares de falhas criticas em sistemas amplamente utilizados representa um risco duplo – pode proteger o mundo, mas tambem pode armar atores maliciosos com um poder de ataque sem precedentes.
“O espaço entre a descoberta e a exploração colapsou – o que antes levava meses agora acontece em minutos com IA”, disse Elia Zaitsev, CTO da CrowdStrike e um dos parceiros do projeto. A frase resume o paradoxo central: a mesma velocidade que torna o Claude Mythos valioso para defensores e a velocidade que o tornaria devastador nas mãos erradas.
Em vez de um lançamento amplo, a Anthropic distribuiu acesso a cerca de quatro dezenas de organizações, principalmente grandes empresas de tecnologia e bancos, com o objetivo de corrigir as vulnerabilidades encontradas antes que qualquer outra entidade pudesse utiliza-las para ataques.
Numeros que impressionam
A atualização de 22 de maio de 2026 trouxe dados concretos sobre os primeiros resultados do projeto. Entre os mais relevantes:
- Mais de 6.200 vulnerabilidades de alta ou critica severidade identificadas em mais de 1.000 projetos de codigo aberto.
- 1.587 verdadeiros positivos confirmados, com taxa de validação de 90,6% – melhor do que a media humana em processos comparaveis.
- No Firefox 150, foram encontradas 271 vulnerabilidades, mais de 10 vezes o numero detectado em testes anteriores com o Claude Opus 4.6.
- A Cloudflare identificou 2.000 falhas em seus sistemas, das quais 400 foram classificadas como alta ou critica severidade.
- A Palo Alto Networks registrou cinco vezes mais correções do que o usual em sua ultima versão.
- A ferramenta Claude Security corrigiu mais de 2.100 vulnerabilidades de forma autonoma em apenas três semanas.
- O tempo medio de correção para vulnerabilidades de alta e critica severidade foi de duas semanas.
Esses numeros não são apenas impressionantes do ponto de vista tecnico – eles sinalizam uma mudança estrutural na equação da cibersegurança. A capacidade humana de fazer triagem, reportar e corrigir falhas sempre foi o gargalo do processo. Com modelos como o Mythos, essa barreira começa a ceder.
Um caso emblematico: wolfSSL e bilhoes de dispositivos em risco
Entre os casos mais graves descobertos pelo Claude Mythos Preview, destaca-se a CVE-2026-5194, uma vulnerabilidade critica na biblioteca wolfSSL que permitia a falsificação de certificados digitais. A falha afetava potencialmente bilhoes de dispositivos em todo o mundo que utilizam essa biblioteca para comunicações seguras.
O modelo não apenas identificou a falha como tambem demonstrou como ela poderia ser explorada, construindo um exploit funcional. A descoberta exemplifica o perfil de risco duplo do projeto: um resultado valioso para a segurança global, mas que, se tivesse chegado às mãos erradas antes da correção, poderia ter comprometido sistemas financeiros, redes corporativas e dispositivos IoT em escala massiva.
Outro exemplo citado no relatorio foi uma vulnerabilidade de 27 anos no OpenBSD que permitia travamentos remotos, e uma falha de 16 anos no FFmpeg que tinha sido ignorada por testes automatizados 5 milhões de vezes antes de ser detectada pelo modelo.
Numeros do modelo revelam um salto de capacidade
Alem dos resultados praticos, a Anthropic publicou benchmarks que mostram o Claude Mythos Preview em outro patamar em relação a seus modelos anteriores. No CyberGym, benchmark especializado em reproducao de vulnerabilidades, o Mythos alcançou 83,1% de acerto contra 66,6% do Opus 4.6. No SWE-bench Pro, que avalia capacidade de engenharia de software, o salto e ainda mais drastico: 77,8% contra 53,4% do Opus 4.6.
Para ter uma dimensão do que esses numeros significam: a versão anterior ja era considerada de ponta. O Mythos Preview não e uma atualização incremental – e um salto de geração.
O paradoxo da segurança com IA generativa
O Project Glasswing coloca em evidencia um paradoxo que a industria de IA vai precisar enfrentar cada vez mais: modelos suficientemente poderosos para resolver problemas de grande escala tambem são suficientemente poderosos para cria-los.
Anthony Grieco, vice-presidente senior da Cisco, foi direto ao ponto: “As capacidades de IA cruzaram um limiar que muda fundamentalmente a urgência de proteger a infraestrutura critica contra ameaças ciberneticas.” Jim Zemlin, CEO da Linux Foundation, destacou o potencial democratizante: “É assim que a segurança aumentada por IA pode se tornar um aliado confiavel para cada mantenedor, não apenas para aqueles que podem pagar por equipes de segurança caras.”
A escolha da Anthropic de manter o modelo restrito a um consorcio de parceiros de confiança, em vez de abrir o acesso publico, reflete uma postura deliberada de governança. A empresa anunciou um programa de 90 dias de relatorio publico sobre vulnerabilidades corrigidas, planos para criação de um orgão independente de supervisão e um Programa de Verificacao Cibernética para profissionais de segurança afetados.
O que vem por aí
A Anthropic sinalizou que o preço do Claude Mythos Preview, apos o periodo de pesquisa, sera de 25 dolares por milhão de tokens de entrada e 125 dolares por milhão de tokens de saída – valores premium que refletem a classe do modelo e o perfil dos clientes que a empresa tem em mente.
O Project Glasswing pode ser visto como um experimento controlado sobre como modelos de linguagem de grande escala podem ser integrados a processos de segurança em escala industrial. Se os resultados continuarem na trajetoria atual, o debate sobre se a IA sera uma ameaça ou um aliado para a cibersegurança pode estar ficando para tras – a resposta, pelo menos no contexto do Glasswing, ja comeca a ser: depende de quem a controla.
A noticia foi publicada originalmente pela Anthropic em anthropic.com/research/glasswing-initial-update em 22 de maio de 2026.
