Algumas semanas após seu lançamento, Claude Mythos, o novo modelo de inteligência artificial, já está impactando a área de cibersegurança. A Anthropic revelou que sua ferramenta identificou mais de 10.000 vulnerabilidades de alta ou crítica gravidade em alguns dos sistemas mais importantes da internet.
De acordo com uma publicação da empresa, os resultados do Project Glasswing, uma iniciativa voltada para reforçar o software crítico antes que a IA caia em mãos de hackers, têm sido documentados. Entre as vulnerabilidades encontradas em empresas como Cloudflare e Mozilla, há falhas de diversos tipos.
O relatório indica que a Cloudflare descobriu 2.000 erros em seus sistemas de rota crítica, com 400 deles sendo de alta ou crítica gravidade. A taxa de falsos positivos foi inferior à de avaliadores humanos. Já a Mozilla identificou 271 vulnerabilidades no Firefox 150 durante os testes com o Mythos Preview, um número dez vezes maior do que o detectado no Firefox 148 com o Claude Opus 4.6.
Um caso específico documentado pela Anthropic envolve a wolfSSL, uma biblioteca criptográfica de código aberto utilizada em bilhões de dispositivos. O Mythos Preview desenvolveu um exploit capaz de falsificar certificados digitais, o que permitiria a um atacante se passar por um banco ou provedor de e-mail com um site aparentemente legítimo. A vulnerabilidade, registrada como CVE-2026-5194, já foi corrigida.
O Impacto do Claude Mythos no Software de Código Aberto
Paralelamente aos projetos com parceiros, a Anthropic tem analisado mais de 1.000 projetos de código aberto que formam a base de grande parte da internet. O modelo identificou 6.202 vulnerabilidades de alta ou crítica gravidade, das quais 1.752 foram revisadas por uma firma independente. A empresa estima que o número de falhas críticas verificadas em código aberto possa ultrapassar os 3.900.
Embora o Claude Mythos esteja descobrindo vulnerabilidades em uma velocidade inédita, a IA também está gerando um gargalo. Alguns responsáveis por projetos de código aberto solicitaram à Anthropic que desacelere o ritmo de suas comunicações, pois não possuem capacidade para desenvolver correções na mesma velocidade. Em média, uma falha crítica detectada pelo Mythos leva duas semanas para ser corrigida.
Essa disparidade pode causar problemas em breve. Modelos de IA com capacidades semelhantes ao Mythos Preview estarão mais amplamente disponíveis em pouco tempo, o que comprime a janela de tempo entre a descoberta de uma vulnerabilidade e sua possível exploração.
“Em última análise, os modelos da classe Mythos permitirão que os desenvolvedores criem software muito mais seguro ao detectar erros antes da implementação“, afirmou a Anthropic. “Mas este período de transição, onde as vulnerabilidades são descobertas rapidamente e corrigidas lentamente, apresenta novos riscos.”
Para acelerar esse processo, a Anthropic lançou o Claude Security em beta pública para clientes corporativos. Essa ferramenta para escanear código e gerar correções automáticas já corrigiu mais de 2.100 vulnerabilidades em apenas três semanas. A empresa também abriu um programa que permite a pesquisadores de segurança legítimos usar os modelos sem certas restrições projetadas para evitar abusos.
A Anthropic prometeu que lançará uma versão pública do Claude Mythos, mas apenas quando houver medidas de segurança mais robustas implementadas.
