A Anthropic divulgou os primeiros resultados do Claude Mythos, seu modelo de inteligência artificial voltado à segurança cibernética, semanas após o lançamento. Segundo a empresa, a ferramenta identificou mais de 10 mil vulnerabilidades de alta gravidade ou críticas em sistemas relevantes da internet. Os números demonstram a capacidade da IA na descoberta de falhas, mas também expõem um problema inédito: a velocidade com que as vulnerabilidades são encontradas supera a capacidade das equipes de manutenção em corrigi-las.
Os dados foram documentados no âmbito do Glasswing Project, iniciativa da Anthropic que visa fortalecer softwares críticos antes que modelos semelhantes caiam nas mãos de pessoas mal-intencionadas. Em paralelo com empresas parceiras, a Anthropic analisou mais de mil projetos de código aberto que sustentam parte significativa da infraestrutura da internet.
Entre os resultados mais expressivos estão os obtidos com a Cloudflare. A empresa de infraestrutura e segurança de rede encontrou dois mil erros em seus sistemas com a ajuda do Mythos, sendo 400 classificados como de gravidade elevada ou crítica. Segundo o relatório da Anthropic, a taxa de falsos positivos do modelo foi inferior à de analistas humanos.
A Mozilla também realizou testes com a versão Mythos Preview em seu navegador Firefox 150. O modelo identificou 271 vulnerabilidades, um número dez vezes superior ao encontrado no Firefox 148 com o Claude Opus 4.6. O salto quantitativo mostra a evolução da capacidade analítica entre as gerações de modelos da Anthropic.
Um caso específico mencionado pela Anthropic envolve a biblioteca criptográfica wolfSSL, de código aberto e presente em bilhões de dispositivos ao redor do mundo. O Mythos Preview criou um exploit capaz de falsificar certificados digitais, o que permitiria a um atacante se passar por instituições como bancos ou provedores de e-mail por meio de sites com aparência legítima. A falha foi registrada como CVE-2026-5194 e já recebeu correção.
No âmbito de código aberto, o modelo identificou 6.202 vulnerabilidades de gravidade elevada ou crítica. Dessas, 1.752 foram revisadas por uma empresa independente. Com base nesse ritmo, a Anthropic estima que o número de falhas críticas verificadas em projetos de código aberto possa ultrapassar 3.900.
Apesar dos avanços na detecção, a velocidade das descobertas gerou uma tensão operacional. Gestores de projetos de código aberto solicitaram à Anthropic que reduzisse o ritmo dos relatórios, alegando que não possuem recursos para desenvolver correções na mesma cadência. Em média, uma vulnerabilidade crítica detectada pelo Mythos leva duas semanas para ser corrigida.
Essa disparidade entre descoberta e correção tende a se agravar. A Anthropic alerta que modelos de inteligência artificial com capacidades semelhantes ao Mythos Preview deverão se tornar mais amplamente disponíveis em breve. Quando isso ocorrer, o intervalo entre a identificação de uma vulnerabilidade e sua possível exploração por terceiros será reduzido.
Para tentar equilibrar esse cenário, a Anthropic anunciou o Claude Security em versão beta pública, voltada a clientes empresariais. A ferramenta realiza verificação de código e aplica correções de forma automática. Em três semanas de operação, o Claude Security já corrigiu mais de 2.100 vulnerabilidades.
Além disso, a Anthropic lançou um programa que permite a pesquisadores de segurança autorizados utilizar os modelos sem algumas das restrições criadas para evitar abusos. O objetivo é que investigadores legítimos possam realizar testes ofensivos e defensivos com mais flexibilidade, contribuindo para o fortalecimento da segurança dos sistemas analisados.
O conjunto de resultados coloca o Claude Mythos como um marco na aplicação de inteligência artificial à segurança cibernética. A capacidade de identificar milhares de falhas em semanas, com baixa taxa de falsos positivos, representa uma mudança significativa na forma como vulnerabilidades são encontradas e tratadas na indústria.
Contudo, a experiência também evidencia que a descoberta de falhas por IA, por si só, não resolve o problema de segurança. A infraestrutura de correção precisa evoluir na mesma proporção. Sem isso, o efeito prático pode ser inverso ao desejado: exibir mais vulnerabilidades do que as equipes conseguem remediar, ampliando temporariamente a superfície de ataque disponível na internet.
O equilíbrio entre velocidade de detecção e capacidade de resposta será um dos temas centrais nos próximos meses do setor de segurança. A Anthropic sinaliza que continuará documentando os resultados do Glasswing Project e ajustando as ferramentas para que o ritmo de descoberta e correção converjam de forma sustentável.
