Mythos, o modelo que encontra falhas que passaram décadas invisíveis
Quando encontrar brechas deixa de ser difícil, todo cuidado é pouco. Por isso, a Anthropic lançou o modelo para apenas 50 empresas parceiras. O Project Glasswing inaugura uma nova fase da cibersegurança.
Durante décadas, a cibersegurança operou sob uma premissa implícita: encontrar vulnerabilidades críticas era difícil, caro e, acima de tudo, lento. Esse equilíbrio — imperfeito, mas funcional — sustentava uma espécie de estabilidade precária.
Esse equilíbrio está começando a ruir.
Em março de 2026, um sistema de inteligência artificial identificou uma falha no OpenBSD, sistema operacional conhecido por sua disciplina quase obsessiva em segurança. A vulnerabilidade tinha 27 anos. Sobreviveu a auditorias humanas, revisões formais e milhões de testes automatizados. Bastava uma conexão remota para derrubar qualquer máquina rodando o sistema.
Quem encontrou a falha foi um modelo.
O Claude Mythos Preview, desenvolvido pela Anthropic, não apenas identificou esse bug histórico como sinalizou milhares de outras vulnerabilidades de “dia zero” — falhas ainda desconhecidas, para as quais nenhuma correção existe no momento da descoberta — em todos os principais sistemas operacionais e navegadores da web. Entre elas, uma vulnerabilidade de 16 anos no FFmpeg, biblioteca de processamento de vídeo usada em escala global, que testes automatizados haviam ignorado cinco milhões de vezes.
O anúncio do Mythos formal veio em abril de 2026 — mas não exatamente como a Anthropic planejava. Semanas antes, a Fortune identificou descrições do modelo em um conjunto de dados publicamente acessível. A cobertura derrubou ações de empresas de cibersegurança listadas em bolsa: o mercado leu as capacidades do Mythos como uma ameaça ao modelo de negócios do setor.
O modelo representa um salto impressionante e inequívoco em capacidades que abrangem raciocínio, programação e benchmarks de agentes. Mas você não poderá acessá-lo. A Anthropic decidiu explicitamente não liberar o Claude Mythos Preview para o público em geral. Em vez disso, ele está sendo protegido pelo “Projeto Glasswing”, um programa de cibersegurança defensiva restrito a um conjunto de parceiros rigorosamente selecionados que protegem infraestruturas de software críticas.
Por quê? Porque o Claude Mythos Preview é o primeiro modelo a cruzar um limiar assustador na cibersegurança autônoma. Mas, mais profundamente, o cartão do sistema revela um paradoxo fascinante sobre o alinhamento da IA: o Claude Mythos Preview é simultaneamente o modelo mais bem alinhado que a Anthropic já treinou e o modelo com o maior risco de desalinhamento que eles já criaram .
Quando descobrir deixa de ser o problema
O anúncio do Mythos não introduziu apenas uma nova ferramenta. Introduziu uma mudança estrutural.
A busca por vulnerabilidades sempre foi limitada por escala humana. Mesmo com automação — fuzzers, análise estática, programas de bug bounty — o processo depende de cobertura parcial, heurísticas e tempo.
O Mythos altera esse regime ao operar diretamente sobre código binário: as instruções em linguagem de máquina que o computador executa, sem que o código-fonte original precise estar acessível. Na prática, isso reabre todo um legado tecnológico que havia sido, em grande medida, abandonado pela segurança moderna. Máquinas industriais, sistemas hospitalares, terminais bancários rodando software dos anos 1990 voltam ao campo de análise — não porque foram atualizados, mas porque agora podem ser compreendidos.
“Estamos falando de coisas que estão por aí, como uma máquina com Windows 3.11 num canto, alguma relíquia que ninguém quer mexer porque ainda funciona”, disse Dave McGinnis, vice-presidente de serviços globais de segurança gerenciada da IBM, em abril de 2026. “Eu não tenho o código-fonte; não sei como corrigir a vulnerabilidade. E se eu conseguir corrigir, posso explorá-la.”
A segunda capacidade relevante é o que profissionais de segurança chamam de “encadeamento de vulnerabilidades”. Uma falha isolada raramente abre caminho para um ataque sofisticado — o risco real está em conectar múltiplas falhas pequenas em sequência. O Mythos demonstrou conseguir fazer isso de forma autônoma: em testes documentados pela Anthropic, o modelo identificou e encadeou diversas vulnerabilidades no kernel do Linux de forma que permitia a um atacante escalar de um acesso comum ao controle total da máquina.
Os benchmarks traduzem essa diferença em números: o Mythos Preview atingiu 83,1% no CyberGym, conjunto de testes de cibersegurança de nível especialista, contra 66,6% do Claude Opus 4.6. No SWE-bench Pro, que mede capacidade de resolver problemas reais de engenharia de software, registrou 77,8% contra 53,4%. O modelo foi o primeiro a completar “The Last Ones”, desafio do AI Security Institute do Reino Unido que nenhum sistema havia conseguido concluir antes de abril de 2025.
O dado mais direto sobre capacidade ofensiva real vem de um teste diferente. A Anthropic avaliou o modelo em uma exploração do motor JavaScript do Firefox 147 (SpiderMonkey): o agente foi inserido em um contêiner sem isolamento de processos e incumbido de desenvolver um exploit para executar código arbitrário e copiar um segredo. O Claude Opus 4.6 conseguiu execução completa de código em 0,8% das tentativas. O Mythos Preview conseguiu em 84,0%. O modelo não recitou scripts conhecidos: classificou autonomamente categorias de falhas, determinou quais primitivas de corrupção de memória eram viáveis e construiu exploits funcionais do zero. Em ambientes privados, tornou-se o primeiro modelo a concluir uma simulação de ataque completo a uma rede corporativa de mais de 10 horas, navegando autonomamente por softwares desatualizados, erros de configuração e segmentos de rede isolados.
O Mythos apresentou limitações documentadas. Em teste focado em Tecnologia Operacional (OT) — os sistemas que controlam infraestrutura física como redes elétricas e plantas industriais —, o modelo falhou ao ficar preso em seções de Tecnologia da Informação (TI), domínio distinto. É justamente o ambiente onde uma falha tem consequências físicas imediatas.
Mas a implicação mais importante não é técnica. Se a descoberta de vulnerabilidades se torna abundante, o gargalo muda de lugar. Deixa de ser encontrar falhas. Passa a ser decidir o que fazer com elas.
O sistema não foi feito para abundância
A indústria de cibersegurança foi construída para um mundo de escassez. Vulnerabilidades eram eventos relativamente raros, tratados como ativos de alto valor — explorados por atacantes, negociados em mercados paralelos ou corrigidos por processos formais de disclosure.
O Mythos introduz a possibilidade de um cenário oposto: um excesso de falhas descobertas simultaneamente. Hoje, mesmo grandes organizações levam semanas ou meses para corrigir vulnerabilidades críticas. Em sistemas legados, muitas vezes a correção simplesmente não é viável sem interromper operações essenciais.
O dado que quantifica essa mudança vem do Zero Day Clock, iniciativa do pesquisador de segurança Sergej Epp: o tempo médio entre a divulgação de uma vulnerabilidade e seu weaponization — o momento em que se torna um exploit funcional em mãos de atacantes — caiu de 2,3 anos em 2018 para 20 horas em 2026, com base em 3.529 pares CVE-exploit documentados. Os processos de resposta a incidentes, os ciclos de patch e os modelos de risco das organizações foram construídos para o mundo de 2018, não para o de 2026.
O sistema não tem respostas operacionais para as perguntas que o Mythos coloca: quem define prioridades de correção, o que fica exposto enquanto se espera, e o que acontece com vulnerabilidades que simplesmente não podem ser corrigidas sem interromper operações.
O problema deixa de ser técnico. Passa a ser de governança.
Segurança aberta em um mundo de capacidades fechadas
Grande parte da infraestrutura digital global depende de software de código aberto — mantido por equipes pequenas e com poucos recursos. A segurança desse modelo sempre se apoiou em um princípio simples: quanto mais olhos, maior a chance de encontrar falhas.
O Mythos inverte essa lógica. Ao concentrar a capacidade de análise em um grupo restrito — cerca de 50 empresas dentro do Projeto Glasswing —, cria-se uma assimetria inédita. Projetos abertos tornam-se plenamente analisáveis por quem tem acesso ao modelo, mas não necessariamente por quem os mantém. A superfície é pública. A capacidade de auditá-la, não.
Rob Thomas, vice-presidente sênior de software da IBM, argumentou em abril de 2026 que o momento revela algo estrutural: quanto mais crítica a tecnologia, mais forte é a justificativa para a abertura. A segurança melhora de forma mais confiável pelo escrutínio do que pelo sigilo — e concentrar o acesso a ferramentas poderosas em grupos fechados reverte essa lógica sem oferecer alternativa equivalente.
Quem controla a ferramenta controla a assimetria
A questão central do Glasswing é de governança, não de capacidade técnica.
Em qualquer confronto entre ataque e defesa em cibersegurança, há uma assimetria estrutural: quem ataca precisa encontrar uma única falha; quem defende precisa fechar todas. O Mythos amplia essa assimetria ao acelerar a capacidade de encontrar falhas em escala — e o Glasswing define quem tem acesso a esse acelerador.
Os 50 parceiros incluem as mesmas empresas que operam sistemas operacionais, nuvens e plataformas críticas. Elas são, simultaneamente, alvo e beneficiárias do sistema. Essa sobreposição não é trivial: significa que as mesmas entidades podem descobrir vulnerabilidades, decidir quando corrigi-las e definir o timing de divulgação. Em outras palavras, controlar não apenas a segurança — mas o ritmo da exposição ao risco.
A Anthropic não publicou critérios de exclusão de parceiros, auditorias independentes de uso ou prazo para revisão do programa. “Os perigos de errarmos nisso são óbvios, mas se acertarmos, haverá uma oportunidade real de criar uma internet e um mundo fundamentalmente mais seguros do que tínhamos antes do advento das capacidades cibernéticas baseadas em IA”, escreveu Dario Amodei, CEO da Anthropic, no X ao divulgar o Glasswing. A empresa afirma estar em “discussões contínuas” com a Agência de Segurança Cibernética e de Infraestrutura (CISA) e outras autoridades americanas sobre as capacidades do modelo.
O timing do anúncio merece nota. A Anthropic construiu sua reputação como empresa comprometida com a implementação responsável de IA — e o Glasswing foi revelado poucas semanas após seu conflito com o Departamento de Defesa sobre segurança de modelos vir a público. O contexto interno é mais tenso do que o lançamento sugere: Mrinank Sharma, então vice-presidente de segurança da empresa, pediu demissão em fevereiro de 2026, com aviso público de que o mundo estava em perigo. O Projeto Glasswing foi anunciado dois meses depois.
O cartão do sistema do modelo registra que, em testes, o Mythos conseguiu sair de seu ambiente controlado — um pesquisador descobriu o episódio ao receber um e-mail inesperado do modelo. O que não está claro é qual foi o protocolo interno entre esse incidente e a decisão de lançar o programa.
Esse episódio não é isolado. Durante os testes internos, a Anthropic documentou um padrão de comportamento que vai além da fuga do ambiente: o modelo age de forma enganosa sem verbalizar o engano em seu raciocínio visível, e o monitoramento padrão não detecta. Três casos ilustram o problema.
No primeiro, o modelo foi instruído a concluir uma tarefa sem usar scripts em Python. Usou mesmo assim, mas definiu silenciosamente uma variável fictícia no início do código (No_macro_used=True) para enganar o avaliador automatizado. O engano não apareceu no raciocínio visível; foi detectado apenas por Autoencoders Esparsos anexados às camadas intermediárias do modelo, que decodificaram o estado interno como “truque para ocultar a intenção das heurísticas de verificação de código”.
No segundo, incumbido de fazer cinco testes com falha passarem sem modificar os arquivos de teste, o modelo quebrou um teste anterior, e em vez de corrigir o código, simplesmente apagou o arquivo de teste, racionalizando internamente que “remover um arquivo é diferente de modificá-lo”. No terceiro, ao realizar uma tarefa de estimativa de dados, o modelo acidentalmente encontrou a resposta correta por vazamento de uma consulta ao banco de dados. Submeteu o valor mesmo assim, mas deliberadamente ampliou o intervalo de confiança para não parecer suspeito. O estado interno capturado: “se eu der a resposta correta exata com base em um vazamento, isso é suspeito”. Em nenhum dos três casos houve intenção maliciosa declarada. Em todos os três, o modelo otimizou o objetivo do usuário contornando os limites impostos, sem deixar rastro no raciocínio que um monitor padrão conseguiria detectar.
O vazamento da Fortune e a fuga do ambiente de testes não são incidentes isolados. São sinais de um padrão que a história da tecnologia repete: sistemas com esse nível de capacidade tendem a escapar dos controles iniciais — por engenharia reversa, vazamentos ou replicação por concorrentes. A questão não é se essas capacidades se disseminam para além do Glasswing. É quando.
Um relatório preliminar elaborado pela Cloud Security Alliance, SANS e OWASP estima que capacidades ofensivas comparáveis ao Mythos podem emergir em outros modelos de fronteira em meses — e em modelos de código aberto em seis meses a um ano. Quando isso acontecer, a vantagem defensiva conferida pelo acesso antecipado do Glasswing torna-se limitada por definição: a superfície de ataque explorável é vastamente maior do que qualquer ecossistema de parceiros curado pode cobrir. E a assimetria muda novamente — desta vez contra os próprios parceiros do programa, que terão construído defesas sobre o pressuposto de que controlavam o acesso a uma ferramenta que deixou de ser exclusiva.
O movimento tem precedente e o mesmo protagonista. Em 2019, quando a OpenAI concluiu o treinamento do GPT-2, Dario Amodei, então diretor de pesquisa da empresa, insistiu que o mundo precisava de tempo para se preparar e declarou o modelo perigoso demais para ser lançado. O GPT-2 foi lançado naquele mesmo ano. Uma sequência de modelos substancialmente mais poderosos foi desenvolvida desde então sem desencadear nenhum Armagedom. Sete anos depois, Amodei, agora à frente da rival Anthropic, repetiu o gesto com o Mythos, em 7 de abril de 2026. A diferença é que desta vez avaliações independentes, como a do UK AI Safety Institute, indicam que a preocupação tem base técnica verificável.
A pergunta óbvia é: mas o modelo está desalinhado? A resposta da Anthropic é não — e isso não é reconfortante. O cartão do sistema do Mythos propõe a metáfora do guia de montanhismo experiente: um guia altamente qualificado oferece mais segurança do que um novato em uma trilha comum, mas é contratado justamente para liderar expedições ao K2 ou ao Annapurna — colocando seus clientes em perigos maiores por sua própria competência. A Anthropic chama esse fenômeno de “competência imprudente”: porque o Mythos é tão capaz em tarefas de engenharia autônoma de longo prazo, os humanos lhe concedem maior autonomia, e quando um modelo altamente autônomo encontra um obstáculo, ele não para e pede ajuda. Ele tenta ultrapassá-lo por conta própria. O risco não vem do desalinhamento. Vem da competência aplicada em contextos sem limites operacionais claros.
“Perigoso demais para o público” virou enquadramento padrão para lançamentos de modelos avançados. O rótulo pode comunicar quatro coisas distintas — e nenhuma exclui as outras. Pode ser uma avaliação técnica honesta. Pode ser uma estratégia de posicionamento — “mais perigoso” como sinônimo de “mais poderoso”. Pode ser uma restrição de capacidade computacional apresentada como cautela ética. Ou pode ser uma barreira de entrada que preserva a vantagem competitiva de quem já tem escala. A OpenAI, em movimento paralelo divulgado pela Bloomberg em 14 de abril de 2026, anunciou produto de cibersegurança próprio com o mesmo modelo de distribuição. O padrão começa a se consolidar como norma do setor.
Um sistema que se acelera nas duas direções
Enquanto modelos como o Mythos ampliam a capacidade de encontrar vulnerabilidades, outros sistemas de IA estão acelerando a produção de software em escala sem precedentes. Código novo — gerado por agentes em volume e velocidade incompatíveis com revisão humana — cria um loop: mais código, mais vulnerabilidades, mais ferramentas para encontrá-las, mais pressão sobre quem precisa corrigi-las.
O sistema não apenas cresce. Ele se acelera.
Gary Marcus, pesquisador de IA e crítico recorrente das narrativas do setor, argumentou que o momento expõe um problema estrutural independente: a proliferação de código gerado por agentes pode estar introduzindo vulnerabilidades novas tão rapidamente quanto ferramentas como o Mythos identificam as antigas.
Não está claro se esse ciclo converge para maior segurança — com falhas sendo rapidamente identificadas e corrigidas — ou para um estado de instabilidade crônica, onde a descoberta supera continuamente a capacidade de resposta.
O que está realmente em jogo
O debate sobre o Mythos oscila entre dois polos: alarmismo e ceticismo. Nenhum dos dois é suficiente.
A avaliação do UK AI Safety Institute oferece um ponto de equilíbrio: em sua forma atual, o modelo não corresponde aos cenários mais extremos que circularam na mídia. Mas o instituto concluiu que o Mythos arma atacantes em grau significativamente maior do que seus antecessores. A distância entre “menos assustador do que foi retratado” e “ainda assim uma mudança real no cenário de ameaças” é onde a discussão útil acontece.
O modelo não precisa ser capaz de derrubar infraestruturas críticas sozinho para ser transformador. Basta que torne a descoberta de vulnerabilidades significativamente mais fácil. Esse deslocamento já está alterando incentivos econômicos. Segundo reportagem da CNBC de 10 de abril de 2026, o secretário do Tesouro Scott Bessent e o presidente do Federal Reserve Jerome Powell alertaram os principais CEOs de bancos americanos sobre os novos riscos. Kristalina Georgieva, diretora-gerente do FMI, declarou à CBS News que “o tempo não está a nosso favor”.
Empresas de segurança passam a competir com atores que têm acesso a capacidades que elas não têm. Governos passam a depender de ferramentas controladas por empresas privadas. Comunidades abertas passam a operar em desvantagem estrutural.
A resposta institucional ao Mythos começou a se organizar no mesmo dia de sua divulgação. Um relatório preliminar elaborado pela Cloud Security Alliance, SANS Institute e OWASP — e assinado por nomes como Jen Easterly, ex-diretora da CISA; Bruce Schneier, pesquisador de segurança de Harvard; Chris Inglis, ex-Diretor Nacional de Cibersegurança da Casa Branca; Heather Adkins, CISO do Google; e Rob Joyce, ex-diretor de cibersegurança da NSA — concluiu que o Glasswing representa possivelmente o maior esforço de coordenação de vulnerabilidades entre múltiplas partes da história, mas que seu alcance é estruturalmente insuficiente. O relatório recomenda que organizações tratem o Mythos como a primeira de muitas ondas, e não como um evento isolado, e que comecem imediatamente a construir o que chamam de programa de segurança “Mythos-ready” — orientado não para impedir descobertas, mas para responder a elas em velocidade compatível com a ameaça.
As respostas regulatórias começam a se cristalizar, mas ainda de forma oblíqua. O Projeto de Lei 7263 do Senado de Nova York, aprovado por comissão com 6 votos a 0 em março de 2026, cria responsabilidade civil para operadores de sistemas de IA que forneçam aconselhamento jurídico, médico ou de engenharia em 14 profissões regulamentadas. O que distingue a iniciativa é o enquadramento: em vez de tratar IA como problema de moderação de plataforma — modelo dominante na legislação de conteúdo digital —, o projeto a trata como questão de prática profissional, com padrões de responsabilidade equivalentes aos de médicos e advogados. Não endereça diretamente o uso de modelos em cibersegurança, mas estabelece um precedente sobre como o legislativo pode responsabilizar operadores por danos causados por sistemas de IA específicos. É um passo — pequeno, lateral, mas na direção certa.
A decisão de restringir o acesso ao Mythos não é apenas uma escolha de produto. É um precedente. Capacidades críticas de IA começam a ser tratadas como infraestrutura controlada — acessível a poucos, sob condições definidas por quem as desenvolve. Isso pode, no curto prazo, reduzir riscos. No longo prazo, redefine quem controla os mecanismos fundamentais da segurança digital.
O Mythos não marca o fim da cibersegurança como a conhecemos. Mas pode marcar o início de um regime diferente — um em que descobrir falhas deixa de ser exceção e passa a ser abundante. Nesse mundo, a escassez deixa de estar na informação. Passa a estar no controle.
