Projeto Glasswing: a iniciativa que quer blindar o software mais crítico do mundo na era da IA
O Projeto Glasswing chegou com tudo, e não é exagero dizer que ele pode mudar o jogo da segurança cibernética de vez. A Anthropic acaba de anunciar uma iniciativa que reúne alguns dos maiores nomes da tecnologia mundial — incluindo AWS, Apple, Microsoft, Google, Cisco, NVIDIA, CrowdStrike, Broadcom, JPMorganChase, Palo Alto Networks e a Linux Foundation — todos unidos por um objetivo em comum: proteger os sistemas mais críticos do planeta antes que seja tarde demais.
O gatilho para tudo isso foi uma descoberta impressionante e, ao mesmo tempo, um pouco assustadora. Um novo modelo de inteligência artificial chamado Claude Mythos Preview, ainda não disponível ao público, demonstrou uma capacidade que poucos esperavam ver tão cedo: encontrar e explorar vulnerabilidades de software com uma precisão e autonomia que supera a maioria dos especialistas humanos em segurança.
Não estamos falando de falhas simples ou erros óbvios. O modelo encontrou milhares de vulnerabilidades de alta severidade, incluindo falhas em todos os principais sistemas operacionais e navegadores web. Problemas que passaram anos ou até décadas escondidos, sobrevivendo a revisões humanas e milhões de testes automatizados. A boa notícia é que muitas já foram corrigidas. Mas o recado está dado: se uma IA consegue fazer isso de forma defensiva, o que acontece quando essas mesmas capacidades caírem nas mãos erradas?
É exatamente essa pergunta que motivou o Projeto Glasswing, e nos próximos parágrafos você vai entender como essa iniciativa funciona, o que ela já descobriu e por que o momento de agir é agora. 🔐
O que é o Projeto Glasswing e por que ele importa tanto
O Projeto Glasswing não é apenas mais um programa de bug bounty ou uma iniciativa corporativa de relações públicas. Ele representa uma mudança real na forma como a indústria de tecnologia enxerga a segurança cibernética na era da inteligência artificial. A ideia central é simples, mas poderosa: se modelos de IA estão se tornando capazes de encontrar falhas que humanos não conseguem detectar, então esses mesmos modelos precisam ser colocados a serviço da defesa, de forma coordenada, transparente e com responsabilidade compartilhada entre as empresas mais influentes do setor.
A Anthropic tomou a frente dessa conversa ao perceber que o Claude Mythos Preview havia atingido um nível de capacidade técnica que ia muito além do esperado para um modelo de linguagem de uso geral. Quando os pesquisadores internos começaram a testar o modelo em cenários de análise de código, os resultados foram além das expectativas: o modelo não apenas identificava padrões problemáticos, mas conseguia rastrear caminhos de exploração completos, entender o contexto de uso do código e sugerir correções precisas, tudo isso de forma autônoma e em velocidade muito superior à de uma equipe humana convencional.
Em vez de guardar a tecnologia para uso próprio ou simplesmente publicar um relatório técnico, a Anthropic escolheu abrir o diálogo com parceiros estratégicos que já atuam nas camadas mais críticas da infraestrutura digital global. AWS, Apple, Microsoft, Google, Cisco, NVIDIA e CrowdStrike não estão apenas emprestando seus nomes para o projeto. Eles estão contribuindo com acesso a ambientes reais, dados de telemetria, arquiteturas proprietárias e times especializados, criando uma rede de defesa colaborativa que nunca existiu antes nessa escala.
Além dos parceiros de lançamento, a Anthropic estendeu o acesso a um grupo de mais de 40 organizações adicionais que constroem ou mantêm infraestrutura crítica de software, para que possam usar o modelo para escanear e proteger tanto sistemas próprios quanto de código aberto. A empresa também está comprometendo até 100 milhões de dólares em créditos de uso do Mythos Preview nessas iniciativas, além de 4 milhões de dólares em doações diretas para organizações de segurança de código aberto. Isso é o Projeto Glasswing na prática. 🛡️
A cibersegurança na era da inteligência artificial
O software do qual todos nós dependemos todos os dias — responsável por operar sistemas bancários, armazenar prontuários médicos, conectar redes logísticas, manter redes elétricas funcionando e muito mais — sempre conteve bugs. Muitos são menores, mas alguns representam falhas sérias de segurança que, se descobertas, podem permitir que ciberatacantes sequestrem sistemas, interrompam operações ou roubem dados.
As consequências de ataques cibernéticos a redes corporativas, sistemas de saúde, infraestrutura energética, centros de transporte e agências governamentais já são bem documentadas. No cenário global, ataques patrocinados por estados têm ameaçado comprometer a infraestrutura que sustenta tanto a vida civil quanto a prontidão militar. Mesmo ataques de menor escala, como os que atingem hospitais ou escolas individualmente, ainda podem causar danos econômicos substanciais, expor dados sensíveis e até colocar vidas em risco. Os custos financeiros globais do cibercrime são difíceis de estimar com precisão, mas podem girar em torno de 500 bilhões de dólares por ano.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
Historicamente, muitas falhas em software passavam despercebidas durante anos porque encontrá-las e explorá-las exigia uma expertise que apenas poucos especialistas de segurança possuíam. Com os modelos de IA de fronteira mais recentes, o custo, o esforço e o nível de expertise necessários para encontrar e explorar vulnerabilidades caíram drasticamente. Ao longo do último ano, modelos de IA se tornaram cada vez mais eficazes em ler e raciocinar sobre código, mostrando uma habilidade notável para identificar vulnerabilidades e descobrir formas de explorá-las.
O Claude Mythos Preview demonstra um salto nessas habilidades cibernéticas. Dez anos após o primeiro DARPA Cyber Grand Challenge, modelos de IA de fronteira estão se tornando competitivos com os melhores humanos na tarefa de encontrar e explorar vulnerabilidades. Sem as salvaguardas necessárias, essas poderosas capacidades cibernéticas poderiam ser usadas para explorar as muitas falhas existentes nos softwares mais importantes do mundo, tornando ataques cibernéticos de todos os tipos muito mais frequentes e destrutivos.
Apesar dos riscos serem sérios, há razão para otimismo: as mesmas capacidades que tornam modelos de IA perigosos em mãos erradas os tornam inestimáveis para encontrar e corrigir falhas em software importante, além de produzir novos programas com muito menos bugs de segurança. 💡
Claude Mythos Preview: a IA que encontra o que humanos não veem
Para entender o peso do que o Claude Mythos Preview representa, é preciso ter clareza sobre o que ele já fez. Nas últimas semanas, a Anthropic usou o modelo para identificar milhares de vulnerabilidades zero-day — ou seja, falhas que eram previamente desconhecidas pelos próprios desenvolvedores dos softwares — muitas delas críticas, em todos os principais sistemas operacionais e navegadores web, além de uma variedade de outros softwares importantes.
As vulnerabilidades descobertas não eram erros de digitação ou configurações mal feitas. Eram falhas estruturais profundas, do tipo que exige um conhecimento técnico muito específico para sequer ser reconhecida como um problema. O modelo conseguiu identificar quase todas essas vulnerabilidades e desenvolver muitos exploits relacionados de forma completamente autônoma, sem nenhum direcionamento humano. Três exemplos ilustram bem o calibre dessas descobertas:
- OpenBSD: O Mythos Preview encontrou uma vulnerabilidade com 27 anos de existência no OpenBSD, um sistema operacional com reputação de ser um dos mais seguros do mundo, usado para rodar firewalls e outras infraestruturas críticas. A falha permitia que um atacante derrubasse remotamente qualquer máquina rodando o sistema operacional simplesmente ao se conectar a ela.
- FFmpeg: Uma vulnerabilidade de 16 anos foi descoberta no FFmpeg, biblioteca usada por inúmeros softwares para codificar e decodificar vídeo. A falha estava em uma linha de código que ferramentas de teste automatizado haviam atingido cinco milhões de vezes sem jamais capturar o problema.
- Kernel do Linux: O modelo encontrou e encadeou autonomamente várias vulnerabilidades no kernel do Linux — o software que roda a maioria dos servidores do mundo — permitindo que um atacante escalasse de acesso de usuário comum para controle completo da máquina.
Todas as vulnerabilidades acima foram reportadas aos mantenedores dos respectivos softwares e já foram corrigidas. Para muitas outras vulnerabilidades, a Anthropic está fornecendo um hash criptográfico dos detalhes e revelará as especificidades após a correção estar implementada.
O que diferencia o Claude Mythos de ferramentas de análise estática tradicionais é a capacidade de raciocínio contextual. Ferramentas convencionais procuram padrões conhecidos e só encontram o que já foi catalogado antes. O Mythos Preview, por outro lado, consegue inferir comportamentos de sistemas a partir de como diferentes partes do código interagem entre si, simulando cenários de uso que nenhum desenvolvedor considerou durante a escrita original. Isso representa uma ruptura técnica significativa, colocando a inteligência artificial na posição de descobrir o desconhecido, e não apenas confirmar o que já se sabe.
Os resultados em benchmarks de avaliação como o CyberGym reforçam a diferença substancial entre o Mythos Preview e o próximo melhor modelo da Anthropic, o Claude Opus 4.6. O modelo também obteve as pontuações mais altas já registradas em uma variedade de tarefas de codificação de software, incluindo SWE-bench Verified, Pro e Multilingual, além de Terminal-Bench 2.0 e outros benchmarks relevantes. 🔍
O que os parceiros estão dizendo sobre o projeto
Várias das organizações parceiras já tiveram acesso ao Claude Mythos Preview por algumas semanas, e os depoimentos reforçam tanto a urgência quanto o potencial da iniciativa.
A Cisco destacou que as capacidades de IA cruzaram um limiar que muda fundamentalmente a urgência necessária para proteger infraestrutura crítica contra ameaças cibernéticas, e que os métodos antigos de endurecimento de sistemas já não são mais suficientes.
A AWS ressaltou que suas equipes analisam mais de 400 trilhões de fluxos de rede por dia em busca de ameaças e que a IA é central para sua capacidade de defesa em escala. A empresa já vinha testando o Claude Mythos Preview em suas próprias operações de segurança e aplicando-o a bases de código críticas.
A Microsoft enfatizou a oportunidade sem precedentes de usar IA de forma responsável para melhorar a segurança e reduzir riscos em escala. Quando testado contra o CTI-REALM, benchmark de segurança de código aberto da Microsoft, o Claude Mythos Preview mostrou melhorias substanciais comparado a modelos anteriores.
A CrowdStrike alertou que a janela entre uma vulnerabilidade ser descoberta e ser explorada por um adversário colapsou: o que antes levava meses agora acontece em minutos com IA.
A Linux Foundation destacou que mantenedores de código aberto, cujo software sustenta grande parte da infraestrutura crítica mundial, historicamente foram deixados para resolver segurança por conta própria. O Projeto Glasswing oferece um caminho para mudar essa equação, transformando a segurança aumentada por IA em uma ferramenta acessível para todos os mantenedores.
O JPMorganChase enfatizou que promover a cibersegurança e a resiliência do sistema financeiro é central para sua missão, e que o projeto oferece uma oportunidade única de avaliar ferramentas de IA de nova geração para defesa cibernética em infraestrutura crítica.
O Google destacou seu investimento contínuo em ferramentas de segurança alimentadas por IA, como Big Sleep e CodeMender, para encontrar e corrigir falhas críticas de software, reforçando sua participação ativa na iniciativa.
A Palo Alto Networks alertou que o modelo representa tanto uma mudança radical para encontrar vulnerabilidades previamente ocultas quanto um sinal perigoso de que atacantes poderão em breve encontrar ainda mais vulnerabilidades zero-day e desenvolver exploits mais rápido do que nunca. A recomendação é clara: todas as organizações precisam se preparar para atacantes assistidos por IA. 📢
O que muda na prática para a segurança cibernética global
Uma das mudanças mais concretas que o Projeto Glasswing promete trazer é a velocidade de resposta a vulnerabilidades de software críticas. Hoje, o ciclo de descoberta, divulgação responsável e correção pode levar semanas ou até meses, dependendo da complexidade do problema e da organização envolvida. Com modelos como o Claude Mythos integrados a pipelines de análise contínua, esse ciclo pode ser reduzido de forma drástica. O modelo não dorme, não tem viés de atenção seletiva e não fica sobrecarregado com volume de código. Ele analisa, prioriza e reporta de forma consistente, o que já é uma vantagem enorme em relação ao modelo atual.
Além da velocidade, há também o fator de cobertura. A maioria das organizações não tem recursos para manter equipes de segurança que consigam revisar continuamente todos os componentes de software que utilizam, especialmente quando dependem de bibliotecas de código aberto mantidas por voluntários. O Projeto Glasswing endereça exatamente esse ponto cego. Ao reunir parceiros com presença em diferentes camadas da infraestrutura digital, o projeto cria uma visão mais completa dos riscos sistêmicos, identificando quais componentes estão em mais uso, quais são menos monitorados e onde o impacto de uma falha seria mais devastador.
Na prática, os parceiros do Projeto Glasswing receberão acesso ao Claude Mythos Preview para encontrar e corrigir vulnerabilidades ou fraquezas em seus sistemas fundamentais — sistemas que representam uma porção muito grande da superfície de ataque cibernético compartilhada do mundo. O trabalho deve focar em tarefas como detecção local de vulnerabilidades, testes de caixa preta em binários, proteção de endpoints e testes de penetração em sistemas.
Outro aspecto relevante é o impacto sobre a cultura de segurança dentro das empresas participantes. Quando organizações do porte de Apple, Google e Microsoft se comprometem publicamente com uma iniciativa como essa, elas também estão sinalizando internamente que a segurança cibernética é uma prioridade estratégica, e não apenas um custo operacional. Isso tende a influenciar decisões de contratação, alocação de orçamento e até a forma como times de engenharia são incentivados a tratar a segurança como parte do processo de desenvolvimento, e não como uma etapa final. 🌐
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
Investimento, acesso e os próximos passos da iniciativa
O compromisso financeiro da Anthropic com o Projeto Glasswing é significativo. Os 100 milhões de dólares em créditos de uso do modelo cobrirão uma utilização substancial durante esta fase de pesquisa inicial. Após esse período, o Claude Mythos Preview estará disponível para os participantes a 25 dólares por milhão de tokens de entrada e 125 dólares por milhão de tokens de saída, com acesso via Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry.
Além dos créditos de uso, a Anthropic doou 2,5 milhões de dólares para os projetos Alpha-Omega e OpenSSF através da Linux Foundation, e 1,5 milhão de dólares para a Apache Software Foundation, para que mantenedores de software de código aberto possam responder a essa mudança de cenário. Mantenedores interessados em acesso podem se inscrever através do programa Claude for Open Source.
A Anthropic pretende que esse trabalho cresça em escopo e continue por muitos meses. Os parceiros compartilharão, na medida do possível, informações e boas práticas entre si. Dentro de 90 dias, a Anthropic publicará um relatório sobre o que aprendeu, as vulnerabilidades corrigidas e as melhorias realizadas que puderem ser divulgadas. A empresa também colaborará com organizações líderes em segurança para produzir um conjunto de recomendações práticas sobre como as práticas de segurança devem evoluir na era da IA, incluindo potencialmente:
- Processos de divulgação de vulnerabilidades
- Processos de atualização de software
- Segurança de código aberto e cadeia de suprimentos
- Ciclo de vida de desenvolvimento de software e práticas de design seguro
- Padrões para indústrias regulamentadas
- Escalabilidade e automação de triagem
- Automação de patches
A Anthropic também informou que tem mantido discussões contínuas com autoridades do governo dos Estados Unidos sobre o Claude Mythos Preview e suas capacidades cibernéticas ofensivas e defensivas. A empresa reconhece que a proteção de infraestrutura crítica é uma prioridade máxima de segurança nacional para países democráticos.
Sobre a disponibilidade geral do modelo, a Anthropic não planeja tornar o Claude Mythos Preview acessível ao público em geral. O objetivo eventual é permitir que usuários implantem modelos da classe Mythos de forma segura e em escala, tanto para fins de cibersegurança quanto para os inúmeros outros benefícios que modelos tão capazes trarão. Para isso, a empresa precisa avançar no desenvolvimento de salvaguardas que detectem e bloqueiem as saídas mais perigosas do modelo. A Anthropic planeja lançar novas salvaguardas com um futuro modelo Claude Opus, permitindo melhorá-las e refiná-las com um modelo que não apresente o mesmo nível de risco do Mythos Preview. 📊
Por que agora é o momento certo
A inteligência artificial chegou a um ponto em que suas capacidades ofensivas e defensivas estão evoluindo na mesma velocidade, mas os mecanismos de defesa ainda estão desorganizados, fragmentados e reativos. O Projeto Glasswing surge como uma tentativa de mudar esse equilíbrio, colocando as ferramentas mais avançadas disponíveis a serviço de quem quer proteger sistemas, não comprometê-los. A iniciativa reconhece algo que a indústria demorou para admitir: nenhuma empresa sozinha consegue dar conta da complexidade e da escala dos riscos que surgem quando a inteligência artificial passa a operar no mesmo nível técnico que os melhores especialistas humanos.
O Claude Mythos Preview é a prova viva de que esse momento já chegou. As vulnerabilidades de software que ele encontrou não eram hipotéticas. Eram reais, estavam em produção e poderiam ter sido exploradas. O fato de que foram descobertas e corrigidas antes de causar dano é uma vitória, mas também um alerta. A próxima descoberta pode não vir de um projeto colaborativo com boas intenções. Pode vir de alguém que desenvolveu uma capacidade similar às escondidas, sem qualquer compromisso com divulgação responsável ou com o bem coletivo.
Como a própria Anthropic colocou, o trabalho de defender a infraestrutura cibernética mundial pode levar anos, mas as capacidades de IA de fronteira provavelmente avançarão substancialmente em apenas alguns meses. Para que os defensores cibernéticos saiam na frente, é preciso agir agora.
É nesse cenário que o Projeto Glasswing ganha seu significado mais profundo. Ele não é apenas uma resposta técnica a um problema técnico. É uma declaração de que a comunidade tecnológica global pode escolher como essa transição acontece, e que a escolha de agir de forma coordenada, aberta e responsável tem valor real, mensurável e urgente. A segurança cibernética nunca foi tão dependente de decisões coletivas quanto agora, e iniciativas como essa mostram que pelo menos parte da indústria entendeu o recado. A Anthropic convidou outros membros da indústria de IA a se juntarem ao esforço de estabelecer padrões para o setor, e no médio prazo, um órgão independente e terceirizado — que reúna organizações dos setores público e privado — pode ser o lar ideal para a continuidade desse tipo de projeto em grande escala. ⚡
