A Anthropic, empresa de inteligência artificial, desenvolveu recentemente um novo modelo que, segundo afirma, é capaz de identificar vulnerabilidades críticas em sistemas, softwares e navegadores. O modelo, conhecido como Claude Mythos Preview, de acordo com a própria companhia, detectou e explorou falhas zero-day em todos os principais sistemas operacionais e navegadores, incluindo vulnerabilidades com mais de duas décadas de existência.

Na última terça-feira (7), por meio do Project Glasswing, a Anthropic anunciou que disponibilizará o Claude Mythos Preview a um consórcio de mais de 40 empresas de tecnologia, incluindo Apple, Google, Amazon Web Services e Cisco. De acordo com o system card publicado, o Mythos não será liberado para uso geral, mas sim restrito a um programa defensivo, já que a empresa reconhece o risco que representaria caso fosse disponibilizado amplamente ao público.

Riscos para a cibersegurança

A decisão de restringir o acesso ao Claude Mythos Preview está relacionada a uma série de riscos observados durante sua avaliação. Entre eles:

  • Capacidade de descoberta e exploração automatizada de vulnerabilidades em larga escala, o que pode reduzir as barreiras técnicas necessárias para realizar ataques complexos.
  • Geração automática de exploits, potencializando campanhas como ransomware ou intrusões corporativas.
  • Autonomia operacional: o modelo é capaz de encadear falhas e estruturar ataques de forma autônoma, tornando as ofensivas mais rápidas e contínuas.
  • Capacidade de contornar controles de segurança: há indícios de que a IA pode evadir mecanismos tradicionais e operar fora de ambientes controlados, como sandboxes.

A IA como motor do cibercrime

Modelos avançados como Claude Mythos Preview apontam para uma mudança contínua na natureza do risco digital. A automação da análise, exploração e encadeamento de vulnerabilidades pode transformar os ataques cibernéticos em processos mais rápidos, contínuos e eficientes do que os observados até agora.

 

Nesse cenário, as organizações enfrentam ameaças que podem ser executadas em velocidades mais difíceis de detectar com ferramentas tradicionais. Isso torna necessário revisar as estratégias defensivas atuais.

Além do precedente do GPT-2

Diferentemente de modelos anteriores, como o GPT-2, cujos riscos estavam mais relacionados à desinformação, o Claude Mythos Preview introduz riscos técnicos diretos, como a exploração autônoma de vulnerabilidades, a evasão de ambientes isolados e comportamentos ocasionalmente desalinhados.

Devido a essas capacidades, a documentação técnica da Anthropic sustenta que o Mythos representa uma mudança significativa no cenário de segurança e exige um esforço coordenado de proteção por parte do setor.

 

A comparação levanta um ponto-chave: embora o histórico do GPT-2 mostre que os riscos iniciais podem ser mitigados, o salto qualitativo desses novos modelos sugere que, desta vez, o uso malicioso pode ser mais concreto.

Recomendações

“Em um cenário em que a inteligência artificial pode acelerar desde a descoberta de vulnerabilidades até a execução de ataques sofisticados, contar com capacidades de visibilidade dentro da infraestrutura torna-se essencial para reduzir os tempos de detecção e resposta, conter incidentes em tempo real e fortalecer a resiliência das organizações diante de um novo nível de ameaças digitais”, destaca Camilo Gutierrez, Field CISO na ESET América Latina.

 

Embora o Claude Mythos Preview não seja liberado ao público, as capacidades demonstradas durante sua avaliação sugerem que as organizações devem fortalecer sua postura defensiva por meio de abordagens mais rigorosas em governança, controle de acesso e segurança desde as primeiras etapas de desenvolvimento e, sobretudo, ampliar a visibilidade dentro das infraestruturas por meio de ferramentas de XDR (Extended Detection and Response).