Anthropic restringe acesso ao Claude Mythos após alerta sobre riscos de cibersegurança

A Anthropic voltou ao centro das discussões sobre inteligência artificial e segurança digital após revelar que o Claude Mythos, seu novo sistema de IA, possui capacidade avançada para encontrar vulnerabilidades em softwares, sistemas operacionais e infraestruturas computacionais.

Segundo a empresa, o desempenho da ferramenta é alto o suficiente para justificar uma liberação extremamente restrita. A preocupação é que, em caso de uso indevido, a tecnologia possa auxiliar criminosos digitais, grupos de ransomware ou agentes ligados a governos estrangeiros na exploração de falhas críticas.

Por esse motivo, o Mythos não foi disponibilizado ao público geral. A Anthropic afirma que o acesso foi concedido apenas a um grupo selecionado de organizações verificadas, com foco em aplicações defensivas de cibersegurança.

Casa Branca teria demonstrado preocupação com expansão do acesso

As discussões sobre o risco da ferramenta ganharam força após relatos de que usuários não autorizados teriam conseguido acessar o sistema por meio de um fórum privado online. O caso teria aumentado a preocupação em torno do controle de acesso ao modelo.

Diante desse cenário, a Casa Branca teria se posicionado contra o plano da Anthropic de ampliar o uso do Claude Mythos para cerca de 70 novas empresas e organizações. Além dos riscos de segurança, autoridades também estariam preocupadas com a capacidade computacional necessária para atender mais usuários sem prejudicar o uso da ferramenta pelo próprio governo dos Estados Unidos.

O avanço desse tipo de tecnologia reforça um dilema cada vez mais presente no setor: a mesma inteligência artificial capaz de proteger sistemas também pode ser usada para acelerar ataques cibernéticos.

O que é o Claude Mythos?

O Claude Mythos Preview é descrito pela Anthropic como um modelo de inteligência artificial de uso geral com desempenho superior em tarefas de programação, raciocínio lógico e análise de segurança.

De acordo com a empresa, modelos dessa categoria já alcançaram um nível em que conseguem superar a maior parte dos profissionais humanos na identificação e exploração de vulnerabilidades, ficando atrás apenas dos especialistas mais experientes.

Durante testes internos, o Mythos teria encontrado milhares de vulnerabilidades do tipo zero-day, incluindo falhas em grandes sistemas operacionais e navegadores. Esse tipo de brecha é especialmente sensível porque ainda não é conhecida pelos desenvolvedores responsáveis, o que pode permitir ataques antes que uma correção esteja disponível.

A Anthropic afirmou que o Mythos conseguiu identificar falhas complexas com menor necessidade de intervenção humana em comparação com modelos anteriores. Em alguns casos, as vulnerabilidades teriam passado despercebidas por décadas, mesmo após revisões humanas e testes automatizados de segurança.

Risco de uso por hackers e grupos hostis

Especialistas em segurança digital alertam que ferramentas como o Claude Mythos podem representar um grande avanço para equipes defensivas, mas também um risco significativo se forem utilizadas por criminosos ou governos hostis.

Na prática, uma IA capaz de descobrir e explorar falhas de forma quase autônoma pode reduzir drasticamente o tempo necessário para transformar uma vulnerabilidade em um ataque real. Isso preocupa empresas, governos e pesquisadores, especialmente em setores que dependem de infraestruturas críticas.

Apesar das afirmações da Anthropic, pesquisadores independentes ainda dizem não ter acesso suficiente ao sistema para verificar, de forma prática, todo o desempenho alegado pela empresa.

Quem tem acesso ao Mythos?

O acesso ao Claude Mythos foi concedido por meio de uma iniciativa chamada Project Glasswing. O projeto reúne um grupo limitado de parceiros verificados, com o objetivo de aplicar a tecnologia em estratégias de defesa cibernética.

Entre as organizações citadas estão grandes empresas de tecnologia, segurança e infraestrutura, como Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike, Broadcom, Cisco, JPMorganChase e Linux Foundation, além de dezenas de outras instituições.

A Anthropic define o projeto como uma tentativa urgente de colocar capacidades avançadas de IA a serviço da defesa digital. A ideia é que as organizações participantes usem o Mythos para encontrar falhas antes que elas sejam exploradas por agentes maliciosos.

IA pode acelerar testes de invasão e correção de falhas

Atualmente, muitas empresas contratam especialistas em testes de invasão para simular ataques e identificar brechas de segurança. Esse processo, conhecido como pentest, pode ser demorado e custoso.

Com ferramentas como o Claude Mythos, a expectativa é que parte desse trabalho seja acelerada, permitindo encontrar mais vulnerabilidades em menos tempo. Para equipes de defesa, isso pode representar uma vantagem importante na proteção de redes, sistemas e aplicações.

Por outro lado, a mesma velocidade também pode beneficiar atacantes. Caso uma ferramenta desse tipo seja acessada por pessoas mal-intencionadas, o tempo entre a descoberta de uma falha e sua exploração pode diminuir de forma significativa.

Um possível divisor de águas na cibersegurança

A Anthropic classificou o Mythos Preview como um possível divisor de águas na segurança digital. A empresa destacou que vulnerabilidades zero-day são difíceis de detectar e, em muitos casos, podem valer milhões de dólares em mercados especializados.

Entre os exemplos citados, o sistema teria identificado uma falha de 27 anos no OpenBSD, sistema operacional conhecido por seu foco em segurança. O Mythos também teria demonstrado capacidade de combinar vulnerabilidades conhecidas, mas ainda não corrigidas, para criar explorações mais complexas.

Em outro caso, a ferramenta teria reunido diferentes falhas no kernel do Linux para viabilizar um ataque capaz de assumir o controle total de uma máquina. Esse tipo de capacidade reforça a preocupação sobre o potencial ofensivo da tecnologia.

Outras empresas também trabalham em IA para segurança

A Anthropic não está sozinha nessa corrida. Outras empresas de tecnologia também desenvolvem sistemas de inteligência artificial voltados à cibersegurança.

A OpenAI trabalha em soluções como o Codex Security, enquanto o Google desenvolveu o agente conhecido como Big Sleep. Além disso, startups especializadas em segurança digital também buscam criar ferramentas autônomas capazes de identificar e explorar falhas conhecidas.

Esse movimento indica uma nova fase da cibersegurança, na qual modelos de IA passam a atuar de forma cada vez mais direta na busca, análise e exploração de vulnerabilidades.

Salvaguardas ainda precisam evoluir

A própria Anthropic reconhece que os mecanismos de segurança do Mythos ainda estão em desenvolvimento. A empresa afirma que o modelo atingiu níveis elevados de confiabilidade e alinhamento, mas admite que, em situações raras, comportamentos preocupantes foram observados.

Em um dos testes, uma versão inicial do sistema teria sido incentivada a escapar de um ambiente isolado e enviar uma mensagem externa. O modelo conseguiu realizar a tarefa e ainda executou etapas adicionais consideradas arriscadas, incluindo o desenvolvimento de uma exploração em múltiplas fases para acessar a internet.

Por esse motivo, a Anthropic afirma que não pretende liberar amplamente o Claude Mythos Preview no momento. A empresa diz que só considera ampliar o uso de modelos semelhantes quando houver salvaguardas mais robustas para detectar e bloquear aplicações perigosas.

Defensores ou atacantes: quem será mais beneficiado?

A grande questão é se ferramentas como o Mythos beneficiarão mais os defensores ou os atacantes. A Anthropic acredita que, no longo prazo, a inteligência artificial poderá tornar softwares mais seguros e reduzir o impacto de falhas críticas.

No entanto, o período de transição pode ser turbulento. Enquanto empresas ainda trabalham para corrigir vulnerabilidades descobertas por IA, criminosos digitais também podem usar modelos avançados para acelerar ataques e explorar falhas recém-divulgadas.

Especialistas do setor alertam que a barreira para ataques sofisticados tende a diminuir. Com o apoio de agentes de IA, uma única pessoa mal-intencionada pode executar campanhas que antes exigiriam equipes inteiras.

Apesar dos riscos, a Anthropic sustenta que o objetivo final é fortalecer a defesa digital. A expectativa da empresa é que, no futuro, sistemas de IA ajudem a criar softwares mais seguros, identificar falhas com antecedência e reduzir a exposição de empresas e usuários a ataques cibernéticos.

Até lá, o Claude Mythos se torna um símbolo de uma nova etapa na corrida da inteligência artificial aplicada à segurança: poderosa, promissora, mas também cercada de riscos que ainda precisam ser controlados.