A Anthropic acaba de revelar que seu modelo mais avançado, o Claude Mythos Preview, identificou de forma autônoma milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores do mundo — incluindo uma falha com 17 anos de existência no FreeBSD que nunca tinha sido descoberta. A empresa não disponibilizou a ferramenta ao público. Em vez disso, criou o Projeto Glasswing: uma iniciativa restrita que entrega o acesso ao modelo apenas a um grupo seleto de parceiros corporativos e desenvolvedores de código aberto, com um objetivo declarado — corrigir as brechas antes que agentes maliciosos desenvolvam capacidades semelhantes.
É o cenário que a indústria de segurança temia há anos: uma IA capaz de operar como o melhor hacker do mundo. E ela chegou.
O modelo que assustou a própria empresa que o criou
O Claude Mythos Preview é o modelo de fronteira ainda não lançado ao público em geral pela Anthropic. Segundo a empresa, ele supera todos os benchmarks existentes de cibersegurança — a ponto de saturar as métricas tradicionais, tornando necessário avaliá-lo em cenários do mundo real.
Em testes controlados, o Mythos Preview explorou de forma autônoma uma vulnerabilidade de execução remota de código no FreeBSD com 17 anos de existência. Nos meses seguintes, o modelo foi usado internamente para mapear falhas em praticamente todos os grandes sistemas operacionais e navegadores. O número exato não foi divulgado, mas a Anthropic confirmou que se trata de "milhares" de vulnerabilidades.
A declaração é tão grave quanto parece. Uma vulnerabilidade zero-day é uma falha desconhecida pelo fabricante do software — o que significa que não existe patch disponível, e qualquer agente que a conheça pode explorá-la com total vantagem sobre as vítimas.
O Projeto Glasswing: uma coalizão inédita de segurança
Para lidar com o paradoxo — uma ferramenta poderosa demais para ser liberada ao público, mas urgente demais para ficar guardada — a Anthropic lançou o Projeto Glasswing.
A iniciativa reúne algumas das maiores empresas de tecnologia e segurança do mundo como parceiras fundadoras: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, a Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks. Todas terão acesso ao Claude Mythos Preview com um mandato claro: usar o modelo para encontrar e corrigir vulnerabilidades críticas em seus sistemas antes que atores maliciosos cheguem lá primeiro.
A lógica é simples, mas perturbadora. Se a Anthropic foi capaz de desenvolver um modelo com essa capacidade ofensiva, outros laboratórios — incluindo os que operam sem as mesmas salvaguardas éticas — estão a meses ou poucos anos de chegar ao mesmo ponto. O Projeto Glasswing é, em essência, uma corrida armamentista defensiva: usar o modelo avançado agora, enquanto apenas os defensores o possuem.
"Ao lançar este modelo inicialmente para um grupo limitado de parceiros críticos da indústria e desenvolvedores de código aberto, a Anthropic visa permitir que os defensores comecem a proteger os sistemas mais importantes antes que modelos com capacidades similares se tornem amplamente disponíveis", explicou a empresa em comunicado oficial.
Por que isso importa para o Brasil agora
O Brasil ocupa uma posição desconfortável neste cenário. Segundo levantamentos recentes do setor, 74% das empresas brasileiras operam sem práticas estruturadas de gestão de riscos de cibersegurança. Ao mesmo tempo, o país se torna cada vez mais dependente de infraestruturas digitais críticas — do Pix ao prontuário eletrônico, passando por sistemas de controle industrial.
As empresas que integram o Projeto Glasswing terão acesso a uma ferramenta capaz de auditar seus sistemas automaticamente e sinalizar falhas antes de qualquer incidente. Empresas fora desse círculo — a maioria das companhias brasileiras — ficam dependentes de um ecossistema de segurança que ainda não absorveu essa nova realidade.
Há ainda uma dimensão regulatória relevante. Com o Marco Legal da IA tramitando na Câmara dos Deputados e a LGPD já em vigor, a responsabilidade sobre incidentes de segurança facilitados ou agravados por IA está prestes a entrar no radar jurídico. Uma empresa que sofrer uma violação de dados originada em uma vulnerabilidade zero-day que ferramentas de IA poderiam ter detectado terá dificuldade em demonstrar que adotou boas práticas de governança.
O que sua empresa deve fazer agora
A maioria das organizações brasileiras não terá acesso direto ao Claude Mythos Preview em curto prazo. Mas é possível — e necessário — começar a se preparar para um ambiente em que a IA ofensiva é uma ameaça real e crescente. Algumas ações concretas:
- Auditoria de superfície de ataque: mapear quais sistemas legados ainda não recebem patches regulares. Vulnerabilidades antigas são justamente o alvo mais provável de ferramentas automatizadas.
- Atualização de contratos com fornecedores de segurança: exigir transparência sobre o uso de IA em ferramentas de detecção e resposta a incidentes já implantadas internamente.
- Monitoramento de CVEs e zero-days relevantes ao setor: ferramentas como o banco de dados da MITRE e alertas do CERT.br são gratuitas e eficazes para acompanhar ameaças emergentes.
- Revisão de políticas de governança de IA: qualquer modelo com acesso a sistemas críticos precisa ter escopo e limites claramente definidos, independentemente do fornecedor.
O Projeto Glasswing sinaliza também uma tendência mais ampla: a cibersegurança corporativa precisará ter fluência em IA — não apenas como usuária, mas como gestora de riscos específicos da era dos modelos avançados de linguagem.
A ferramenta que pode destruir e proteger tudo ao mesmo tempo
A Anthropic escolheu — ao menos por ora — apostar no lado defensivo desse paradoxo. Mas o prazo é curto. A empresa já anunciou planos para lançar novas salvaguardas junto com o próximo modelo Claude Opus. O que está implícito é que o Mythos Preview, com suas capacidades ofensivas hoje restritas, eventualmente chegará a uma versão de acesso mais amplo — com controles mais robustos, espera-se.
Para empresas e equipes de tecnologia no Brasil, o recado é claro: a janela para reagir de forma proativa está aberta, mas não ficará aberta para sempre.
Esta matéria foi publicada em 08/05/2026. Siga a Entercast para não perder as próximas atualizações.