A IA que caça falhas antes que hackers possam usa-las
Em um mês de operação, o modelo Claude Mythos Preview, da Anthropic, identificou mais de 10.000 vulnerabilidades críticas em softwares amplamente utilizados ao redor do mundo, incluindo todos os principais sistemas operacionais e navegadores. Os números, divulgados em uma atualização do Project Glasswing em 22 de maio de 2026, revelam uma mudança de escala sem precedentes na segurança digital: a inteligência artificial generativa não é mais apenas uma ferramenta de produtividade – ela se tornou um sensor de segurança de dimensões industriais.
O feito levanta questões urgentes sobre o papel dos modelos de linguagem de grande escala na infraestrutura crítica global e sobre os riscos de uma tecnologia poderosa o suficiente para ser considerada perigosa demais para o público em geral.
O que é o Project Glasswing
Lancado pela Anthropic em parceria com 11 grandes organizações, o Project Glasswing e uma iniciativa colaborativa de cibersegurança que tem como objetivo utilizar modelos de IA de fronteira para identificar e corrigir vulnerabilidades em softwares críticos antes que agentes maliciosos as descubram e as explorem.
Os parceiros de lançamento incluem nomes como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks – uma constelação de empresas que, juntas, controlam boa parte da infraestrutura tecnológica mundial. No total, mais de 40 organizações têm acesso ao modelo no contexto do projeto.
A Anthropic comprometeu 100 milhões de dólares em creditos de uso do modelo e mais 4 milhões de dólares em doações diretas a organizações de segurança de código aberto, incluindo 2,5 milhões para a Alpha-Omega/OpenSSF via Linux Foundation e 1,5 milhão para a Apache Software Foundation.
Claude Mythos Preview: o modelo que não pode ser liberado ao público
O Claude Mythos Preview é descrito pela Anthropic como seu modelo de fronteira mais poderoso até hoje – especialmente capaz em tarefas de codificação e operações autonomas. Sua eficiência em cibersegurança decorre de sua capacidade de compreender profundamente sistemas de software complexos, identificar padrões de vulnerabilidade e, em alguns casos, construir exploits funcionais para demonstrar que a falha e real é exploravel.
Justamente por isso, a empresa optou por não tornar o modelo disponível ao público em geral. A lógica e clara: um modelo que consegue encontrar e explorar milhares de falhas críticas em sistemas amplamente utilizados representa um risco duplo – pode proteger o mundo, mas também pode armar atores maliciosos com um poder de ataque sem precedentes.
“O espaço entre a descoberta e a exploração colapsou – o que antes levava meses agora acontece em minutos com IA”, disse Elia Zaitsev, CTO da CrowdStrike e um dos parceiros do projeto. A frase resume o paradoxo central: a mesma velocidade que torna o Claude Mythos valioso para defensores e a velocidade que o tornaria devastador nas mãos erradas.
Em vez de um lançamento amplo, a Anthropic distribuiu acesso a cerca de quatro dezenas de organizações, principalmente grandes empresas de tecnologia e bancos, com o objetivo de corrigir as vulnerabilidades encontradas antes que qualquer outra entidade pudesse utiliza-las para ataques.
Números que impressionam
A atualização de 22 de maio de 2026 trouxe dados concretos sobre os primeiros resultados do projeto. Entre os mais relevantes:
- Mais de 6.200 vulnerabilidades de alta ou crítica severidade identificadas em mais de 1.000 projetos de código aberto.
- 1.587 verdadeiros positivos confirmados, com taxa de validação de 90,6% – melhor do que a média humana em processos comparaveis.
- No Firefox 150, foram encontradas 271 vulnerabilidades, mais de 10 vezes o número detectado em testes anteriores com o Claude Opus 4.6.
- A Cloudflare identificou 2.000 falhas em seus sistemas, das quais 400 foram classificadas como alta ou crítica severidade.
- A Palo Alto Networks registrou cinco vezes mais correções do que o usual em sua última versão.
- A ferramenta Claude Security corrigiu mais de 2.100 vulnerabilidades de forma autonoma em apenas três semanas.
- O tempo médio de correção para vulnerabilidades de alta e crítica severidade foi de duas semanas.
Esses números não são apenas impressionantes do ponto de vista técnico – eles sinalizam uma mudança estrutural na equação da cibersegurança. A capacidade humana de fazer triagem, reportar e corrigir falhas sempre foi o gargalo do processo. Com modelos como o Mythos, essa barreira começa a ceder.
Um caso emblematico: wolfSSL e bilhões de dispositivos em risco
Entre os casos mais graves descobertos pelo Claude Mythos Preview, destaca-se a CVE-2026-5194, uma vulnerabilidade crítica na biblioteca wolfSSL que permitia a falsificação de certificados digitais. A falha afetava potencialmente bilhões de dispositivos em todo o mundo que utilizam essa biblioteca para comunicações seguras.
O modelo não apenas identificou a falha como também demonstrou como ela poderia ser explorada, construindo um exploit funcional. A descoberta exemplifica o perfil de risco duplo do projeto: um resultado valioso para a segurança global, mas que, se tivesse chegado às mãos erradas antes da correção, poderia ter comprometido sistemas financeiros, redes corporativas e dispositivos IoT em escala massiva.
Outro exemplo citado no relatorio foi uma vulnerabilidade de 27 anos no OpenBSD que permitia travamentos remotos, e uma falha de 16 anos no FFmpeg que tinha sido ignorada por testes automatizados 5 milhões de vezes antes de ser detectada pelo modelo.
Números do modelo revelam um salto de capacidade
Além dos resultados práticos, a Anthropic publicou benchmarks que mostram o Claude Mythos Preview em outro patamar em relação a seus modelos anteriores. No CyberGym, benchmark especializado em reprodução de vulnerabilidades, o Mythos alcançou 83,1% de acerto contra 66,6% do Opus 4.6. No SWE-bench Pro, que avalia capacidade de engenharia de software, o salto e ainda mais drastico: 77,8% contra 53,4% do Opus 4.6.
Para ter uma dimensão do que esses números significam: a versão anterior já era considerada de ponta. O Mythos Preview não é uma atualização incremental – e um salto de geração.
O paradoxo da segurança com IA generativa
O Project Glasswing coloca em evidência um paradoxo que a indústria de IA vai precisar enfrentar cada vez mais: modelos suficientemente poderosos para resolver problemas de grande escala também são suficientemente poderosos para cria-los.
Anthony Grieco, vice-presidente senior da Cisco, foi direto ao ponto: “As capacidades de IA cruzaram um limiar que muda fundamentalmente a urgência de proteger a infraestrutura crítica contra ameaças ciberneticas.” Jim Zemlin, CEO da Linux Foundation, destacou o potencial democratizante: “É assim que a segurança aumentada por IA pode se tornar um aliado confiavel para cada mantenedor, não apenas para aqueles que podem pagar por equipes de segurança caras.”
A escolha da Anthropic de manter o modelo restrito a um consorcio de parceiros de confiança, em vez de abrir o acesso público, reflete uma postura deliberada de governança. A empresa anunciou um programa de 90 dias de relatorio público sobre vulnerabilidades corrigidas, planos para criação de um orgão independente de supervisão e um Programa de Verificacao Cibernética para profissionais de segurança afetados.
O que vem por aí
A Anthropic sinalizou que o preço do Claude Mythos Preview, após o período de pesquisa, será de 25 dólares por milhão de tokens de entrada e 125 dólares por milhão de tokens de saída – valores premium que refletem a classe do modelo e o perfil dos clientes que a empresa tem em mente.
O Project Glasswing pode ser visto como um experimento controlado sobre como modelos de linguagem de grande escala podem ser integrados a processos de segurança em escala industrial. Se os resultados continuarem na trajetória atual, o debate sobre se a IA será uma ameaça ou um aliado para a cibersegurança pode estar ficando para tras – a resposta, pelo menos no contexto do Glasswing, já começa a ser: depende de quem a controla.
A notícia foi publicada originalmente pela Anthropic em anthropic.com/research/glasswing-initial-update em 22 de maio de 2026.
