A empresa de inteligência artificial Anthropic lançou uma iniciativa de cibersegurança denominada Project Glasswing, que busca aproveitar capacidades avançadas de seu novo modelo de fronteira, Claude Mythos, para descobrir e corrigir falhas críticas em software. Em vez de lançar esta versão ao público em geral, a empresa optou por trabalhar com um grupo limitado de organizações - incluindo grandes fornecedores de nuvem, fabricantes de software e entidades financeiras - para aplicar a ferramenta na proteção de infra-estruturas essenciais.
Segundo o comunicado pela própria empresa, Claude Mythos em sua versão preliminar demonstrou uma habilidade notável para analisar código, raciocinar sobre sistemas e construir sequências de exploração que superariam a maioria dos especialistas humanos na busca de vulnerabilidades. Esse salto em capacidade coloca uma dupla leitura: por um lado, pode acelerar a detecção e o adesivo de falhas antes de serem explorados; por outro, introduz o risco de técnicas semelhantes cairem nas mãos maliciosas. Anthropic argumentou que essa dimensão dual — o potencial para defender e ao mesmo tempo para atacar — é a principal razão pela qual não difundirá o modelo abertamente. Mais sobre a abordagem pública da empresa pode ser consultada em seu blog corporativo oficial.
A empresa afirma que Mythos Preview já identificou milhares de vulnerabilidades de alto impacto em sistemas operacionais e navegadores importantes, incluindo falhas históricas que levavam anos sem adesivos em projetos de código aberto. Na prática, detectar falhas que permaneceram latentes durante décadas evidencia duas coisas: por um lado, a presença de riscos acumulados em software crítico; por outro, que os avanços em modelos de IA estão alcançando uma capacidade operacional que transcende tarefas de assistência básica e se mete em terrenos práticos de exploração e correção automatizada. Para contrastar achados concretos e antecedentes técnicos, é útil consultar as páginas de segurança de projetos reconhecidos como OpenBSD ou a secção de segurança de projectos multimédia como FFmpeg.
Anthropic apresenta Project Glasswing como uma resposta urgente: antes que atores hostis incorporem técnicas semelhantes, a ideia é usar essas mesmas ferramentas para reforçar defesas. O plano inclui colaborar com empresas e organizações de primeiro nível, além de destinar créditos de utilização do modelo e doações para iniciativas de segurança de código aberto. É uma aposta em transformar uma capacidade tecnológica arriscada numa alavanca defensiva coordenada com a indústria, uma estratégia que recorda os esforços de colaboração público-privada em matéria de cibersegurança.
A discussão pública, no entanto, não pode ser separada de episódios recentes que põem em causa a própria resiliência operacional de Anthropic. Antes do anúncio, foram produzidos vazamentos acidentais de documentação e código: materiais preliminares sobre Mythos foram acessíveis por engano, e posteriormente foram emitidos milhares de arquivos de código fonte associados a Claude Code durante algumas horas. Esses incidentes ilustram que, mesmo quando uma organização decide restringir o acesso a tecnologias sensíveis, erros humanos ou falhas em processos internos podem provocar divulgações problemáticas.
O incidente com Claude Code também tirou à luz um problema concreto de segurança no comportamento do agente que executa comandos em máquinas de desenvolvedores. Um relatório de segurança externo apontou que, por razões de desempenho, o sistema deixou de aplicar certas regras de recusa quando um comando continha mais de 50 subcomandos. Na prática, uma proteção configurada para bloquear uma instrução perigosa poderia ser considerada eludida se essa instrução fosse introduzida junto a uma longa lista de sentenças aparentemente inofensivas. É um exemplo claro da tensão entre desempenho, custo e segurança: sacrificar verificações integrais por rapidez pode abrir atalhos que os atacantes explotem. Para contextualizar este tipo de vulnerabilidades e seu impacto em ecossistemas de software, convém rever recursos como a base de dados de vulnerabilidades do CVE ou publicações de organizações que investigam segurança em inteligência artificial.
A situação levanta questões éticas e regulamentares com implicações práticas. Quem decide quais modelos podem ser usados para avaliar infra-estruturas críticas e em que condições? Como conciliar a necessidade de transparência em segurança com o perigo de divulgar métodos que poderiam ser reutilizados por atacantes? No caso de Anthropic, a resposta tem sido limitar o acesso, estabelecer acordos colaborativos com atores-chave e financiar trabalhos na comunidade de segurança aberta. Estas medidas estão em linha com a ideia de que a governação das tecnologias fronteiriças deve incluir tanto controlos técnicos como canais de cooperação entre empresas, projectos de código aberto e governos.
Mas as limitações operacionais não substituem a necessidade de auditorias independentes, quadros normativos claros e práticas de segurança por design. Os modelos que fundamentam o código e constroem exploits de forma autónoma requerem controlos de segurança mais robustos, desde testes de penetração realizados por terceiros a políticas internas que evitem a exposição acidental de informações sensíveis. Além disso, a comunidade técnica e os decisores políticos devem discutir como equilibrar a inovação com salvaguardas: doar recursos e créditos a projectos de segurança de código aberto pode ajudar, mas não resolve por si só a questão mais ampla de governação e responsabilidade.
Outro aspecto a considerar é a velocidade a que estas capacidades emergem de melhorias gerais na escrita de código e no raciocínio automático, mais do que de um treinamento dirigido especificamente a explorar falhas. Isso significa que os modelos que se tornam significativamente mais competentes em programação podem gerar consequências não previstas em áreas de segurança. O desafio para as empresas que desenvolvem IA consiste em antecipar e mitigar esses efeitos colaterais sem travar a investigação útil.
Em última análise, o caso do Projeto Glasswing e Claude Mythos destaca uma lição prática: a era em que a cibersegurança enfrentava apenas erros humanos ou defeitos de software está mudando. Agora aparecem ferramentas automatizadas com capacidade para encontrar, explorar e, crucialmente, ajudar a corrigir vulnerabilidades a uma escala que exige respostas coordenadas. Para se informar sobre a cobertura jornalística e a análise desses eventos em meios especializados, consultar a secção tecnológica de agências de informação como Reuters ou o acompanhamento dos grandes projetos e fundações em páginas como a Linux Foundation, que muitas vezes participam em iniciativas de segurança colaborativa.
A combinação de transparência responsável, auditoria externa, investimento na comunidade de segurança e normas claras para a utilização de modelos poderosos parece hoje o caminho mais prudente. Entretanto, o ecossistema deve aprender a conviver com ferramentas que são, ao mesmo tempo, uma esperança para defender sistemas críticos e uma advertência sobre o poder da automação quando não se acompanha de controles adequados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...