IA da Anthropic detectou mais de 10 mil falhas críticas de segurança em um mês — e não será lançada ao público

IA revela escala alarmante de falhas ocultas em software crítico

Um modelo de inteligência artificial desenvolvido pela Anthropic varreu sistemas amplamente utilizados ao redor do mundo e revelou, em apenas um mês, uma quantidade perturbadora de brechas de segurança. O Claude Mythos Preview — nome dado ao modelo experimental — analisou mais de 23 mil candidatos a vulnerabilidades em projetos de código aberto, confirmando 1.726 falhas reais com uma precisão de 90,8%. Quando somados os resultados obtidos com parceiros corporativos, o número de vulnerabilidades de alta severidade e criticidade ultrapassou a marca de 10 mil. Os detalhes foram divulgados como parte do Project Glasswing, iniciativa colaborativa liderada pela Anthropic.

O que é o Project Glasswing

Lançado como um consórcio de segurança defensiva, o Project Glasswing reúne 12 organizações fundadoras de peso — entre elas Amazon Web Services, Apple, Google, Microsoft, Cisco, CrowdStrike, NVIDIA e Palo Alto Networks — além de mais 40 entidades com acesso ao modelo. A premissa central é simples, porém ambiciosa: usar inteligência artificial para encontrar vulnerabilidades antes que agentes mal-intencionados o façam. A Anthropic disponibilizou US$ 100 milhões em créditos de uso para os participantes e fez doações de US$ 2,5 milhões à Alpha-Omega/OpenSSF e US$ 1,5 milhão à Apache Software Foundation, reforçando o comprometimento com a segurança do ecossistema de software livre.

O Mythos Preview opera de maneira inteiramente autônoma: sem orientação humana, o modelo não apenas identifica falhas como também desenvolve exploits funcionais para comprová-las. Nos benchmarks internos, o desempenho chegou a 83,1% em testes de reprodução de vulnerabilidades — bem acima dos 66,6% registrados pelo Claude Opus 4.6, versão de uso geral da empresa.

Falhas antigas e críticas emergem à superfície

Entre as descobertas mais impactantes estão vulnerabilidades que permaneciam dormentes por décadas sem serem detectadas. O Mythos encontrou uma brecha de 27 anos no OpenBSD e uma falha de 16 anos no FFmpeg — esta última havia escapado de cinco milhões de testes automatizados anteriores. No Firefox, a Mozilla identificou 271 vulnerabilidades; a Cloudflare encontrou cerca de 2 mil bugs em seus sistemas, com 400 classificados como de alta ou crítica severidade. O modelo também encadeou múltiplas falhas no kernel Linux para demonstrar escalonamento de privilégios.

De particular preocupação foi a descoberta da CVE-2026-5194, uma vulnerabilidade na biblioteca criptográfica wolfSSL que permitiria a falsificação de certificados digitais, abrindo caminho para ataques de spoofing contra domínios bancários e de e-mail em escala global.

Por que o modelo não será lançado ao público

Apesar do potencial defensivo evidente, a Anthropic foi categórica: o Mythos Preview não estará disponível comercialmente no curto prazo. A justificativa é diretamente ligada ao caráter dual da ferramenta — a mesma capacidade que encontra falhas para corrigi-las pode ser explorada para atacar sistemas vulneráveis. Segundo a empresa, ainda não existem salvaguardas robustas o suficiente para impedir o uso malicioso do modelo em mãos erradas. Por isso, o acesso permanece restrito aos membros defensivos do consórcio.

A decisão revela a tensão crescente que permeia o desenvolvimento de IA voltada à segurança ofensiva e defensiva. Ferramentas cada vez mais capazes de rastrear brechas com autonomia e precisão representam uma vantagem inestimável para equipes de defesa — mas o mesmo arsenal, nas mãos de atacantes, poderia acelerar dramaticamente a exploração de sistemas críticos. O Project Glasswing é, nesse sentido, um experimento controlado sobre onde traçar essa linha.

Fonte original: Olhar Digital — publicado em 23 de maio de 2026. Informações corroboradas por Anthropic Glasswing, Cybersecurity News e Interesting Engineering.