O Mythos AI, o mais recente modelo da Anthropic, identificou, segundo a própria empresa, milhares de vulnerabilidades desconhecidas em apenas sete semanas. A ferramenta desencadeou um volume histórico de correções de segurança e pressionou governos e bancos centrais a coordenar respostas de emergência. Lançada em abril de 2026 a um grupo restrito de organizações, expõe uma tensão crescente entre a velocidade de deteção automatizada e a capacidade humana de resposta.
A avalanche de correções
A Microsoft foi uma das primeiras a sentir o impacto. A edição de abril do Patch Tuesday incluiu correções para 167 falhas de segurança, número que Adam Barnett, engenheiro sénior de software da Rapid7, classificou como “um novo recorde”. O próprio Barnett reconheceu ser tentador ligar este volume ao anúncio do Project Glasswing na semana anterior, embora sem estabelecer uma relação causal direta.
A Mozilla seguiu o mesmo caminho. O Firefox 150 integrou correções para 271 vulnerabilidades detetadas com o apoio do Mythos AI, embora apenas três tenham sido formalmente creditadas à ferramenta na nota de segurança oficial da Mozilla, segundo The Register. A Anthropic alega, no seu System Card oficial, que as falhas encontradas abrangem todos os principais sistemas operativos e navegadores, algumas com décadas de existência.
Project Glasswing: acesso controlado, pressão crescente
O programa foi lançado com onze parceiros nomeados, entre eles a Amazon Web Services, a Apple, a Broadcom, a Cisco, a CrowdStrike, a Google, a JPMorgan Chase, a Linux Foundation, a Microsoft, a Nvidia e a Palo Alto Networks, a que se juntaram mais de 40 organizações adicionais responsáveis por infraestruturas de software críticas. Quanto mais tempo os parceiros tiverem para corrigir as falhas antes de o modelo ser disponibilizado de forma alargada, menor o risco de exploração maliciosa.
A Anthropic confirmou planos para estender o acesso a bancos europeus e do Reino Unido. O Banco Central Europeu prepara-se para alertar os bancos sob a sua supervisão sobre os riscos do Mythos AI, segundo a Reuters citada pelo Business Standard. Ao contrário dos EUA, esta auscultação decorre pelos canais habituais de diálogo com o pessoal bancário, sem reuniões extraordinárias com a gestão de topo agendadas por ora.
Bancos e governos mobilizados
Nos EUA, o secretário do Tesouro Scott Bessent e o presidente da Reserva Federal Jerome Powell reuniram executivos da banca a 8 de abril para os incentivar a testar os seus próprios sistemas com o Mythos AI. Goldman Sachs, Citigroup, Bank of America e Morgan Stanley responderam ao apelo e iniciaram testes internos, segundo a Bloomberg citada pelo TechCrunch. Jamie Dimon, CEO da JPMorgan Chase, advertiu que o Mythos AI expõe mais pontos vulneráveis para potenciais ataques cibernéticos, segundo a CNBC.
A mobilização foi além dos EUA. A ministra das Finanças indiana Nirmala Sitharaman presidiu uma reunião de alto nível com diretores de bancos, o Banco de Reserva da Índia, o Ministério da Eletrónica e Tecnologia da Informação, o NPCI e o CERT-In para avaliar os riscos associados ao Mythos AI, segundo o Economic Times. Sitharaman pediu aos bancos que tomem medidas preventivas para proteger os seus sistemas e os dados dos clientes, encarregando a Associação de Bancos da Índia de coordenar a resposta institucional.
Christian Sewing, diretor executivo do Deutsche Bank, declarou à Bloomberg que o setor bancário alemão não vê o Mythos AI como uma ameaça existencial, apesar de reconhecer que as suas capacidades em cibersegurança justificam vigilância reforçada.
O dilema do uso duplo
A Palo Alto Networks alertou que capacidades semelhantes às do Mythos AI acabarão por estar disponíveis fora do perímetro controlado das empresas americanas com salvaguardas integradas. O risco apontado pela empresa é preciso. Agentes de ameaça com acesso a ferramentas equivalentes poderão criar “agentes de ataque autónomos sem precedentes na indústria”, uma categoria de risco para a qual as defesas atuais não estão preparadas.
A avaliação de cibersegurança da Anthropic documenta as capacidades ofensivas do modelo e o racional por detrás do acesso restrito. A inteligência artificial está a encontrar falhas a um ritmo superior ao que as equipas conseguem corrigir, e os defensores enfrentam uma corrida para a qual ainda não estão equipados.
A Anthropic comprometeu-se com até 100 milhões de dólares em créditos de utilização para os parceiros e com 4 milhões de dólares em doações a organizações de segurança de código aberto, incluindo a Alpha-Omega, a Open Source Security Foundation e a Apache Software Foundation, conforme a página oficial do Project Glasswing. A empresa garante que o modelo não estará disponível de forma alargada até que novas salvaguardas estejam operacionais.
O que vem a seguir
A questão que estrutura o debate já não é se a inteligência artificial vai transformar a cibersegurança. É quem define as regras e a que ritmo. Com vulnerabilidades a ser detetadas mais depressa do que os recursos humanos conseguem absorver, o modelo de divulgação responsável que a indústria conhece pode precisar de ser repensado antes que o acesso à tecnologia se alargue.
Outros artigos interessantes:
