Project Glasswing: a coalizão bilionária que quer blindar o software do mundo inteiro antes que a IA caia nas mãos erradas
O Claude Mythos Preview acabou de mudar tudo o que a gente sabia sobre cibersegurança.
A Anthropic revelou um modelo de inteligência artificial que encontrou, de forma completamente autônoma, milhares de vulnerabilidades zero-day críticas em todos os grandes sistemas operacionais e navegadores do mundo.
Sem supervisão humana.
Sem precisar de ajuda.
E com uma eficiência que deixou até os maiores especialistas do setor de queixo caído.
Mas aqui está o ponto que torna essa história ainda mais interessante: antes que essas capacidades proliferassem para além de atores comprometidos com o uso responsável, um grupo de gigantes da tecnologia decidiu agir.
Nasceu assim o Project Glasswing — uma coalizão formada por nomes como AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, Broadcom, Palo Alto Networks, JPMorganChase e a Linux Foundation, com um objetivo claro: usar esse poder imenso para defender, não para atacar.
O que você vai ver a seguir é como essa iniciativa pode representar uma virada real na forma como o mundo protege sua infraestrutura digital — e por que a janela para agir é muito menor do que qualquer um gostaria.
O que o Claude Mythos Preview é capaz de fazer que nenhum outro modelo conseguiu antes
Para entender o tamanho do que está acontecendo, é importante ter clareza sobre o que o Claude Mythos Preview realmente representa. Não estamos falando de um modelo que simplesmente responde perguntas técnicas ou ajuda desenvolvedores a corrigir bugs pontuais. Estamos falando de um sistema de inteligência artificial de fronteira, ainda não lançado comercialmente, que foi projetado para raciocinar de maneira profunda sobre arquiteturas complexas de software, identificar padrões de falha que escapam completamente ao olho humano e, o que é mais impressionante, agir de forma autônoma em todo esse processo — sem precisar de um especialista do outro lado validando cada passo.
Isso é um salto qualitativo enorme em relação a qualquer coisa que a indústria havia visto antes em termos de capacidade aplicada à cibersegurança. A Anthropic formou o Project Glasswing justamente por causa das capacidades observadas nesse novo modelo de fronteira, que revelou um fato contundente: modelos de IA atingiram um nível de habilidade em código onde conseguem superar todos os humanos, exceto os mais qualificados, na tarefa de encontrar e explorar vulnerabilidades de software.
Os testes internos realizados pela Anthropic demonstraram que o modelo conseguiu mapear vulnerabilidades críticas em sistemas operacionais amplamente utilizados, além de navegadores de grande alcance, em uma escala e velocidade que simplesmente não são alcançáveis por equipes humanas tradicionais de segurança, por mais capacitadas que sejam. O Claude Mythos Preview não apenas encontrou essas brechas — ele categorizou, priorizou e descreveu caminhos de exploração com um nível de detalhe técnico que permitia ação imediata por parte das equipes de resposta.
Benchmarks de avaliação como o CyberGym reforçam a diferença substancial entre o Mythos Preview e o próximo melhor modelo da Anthropic, o Claude Opus 4.6. O modelo também alcançou as maiores pontuações já registradas em uma variedade de tarefas de codificação de software, incluindo SWE-bench Verified, Pro e Multilingual, SWE-bench Multimodal e Terminal-Bench 2.0.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
Esse tipo de capacidade, aplicada de forma contínua e automatizada, representa uma mudança estrutural na corrida entre atacantes e defensores no mundo digital.
Vulnerabilidades com décadas de idade descobertas em minutos
Os exemplos concretos que a Anthropic compartilhou são de arrepiar. Nas últimas semanas, a equipe usou o Claude Mythos Preview para identificar milhares de vulnerabilidades zero-day — falhas que eram completamente desconhecidas pelos desenvolvedores do software — em todos os principais sistemas operacionais e todos os principais navegadores, além de uma série de outras peças críticas de software.
Três casos específicos ilustram o calibre do que estamos falando:
- Uma vulnerabilidade de 27 anos no OpenBSD — sim, o sistema operacional considerado um dos mais seguros do mundo, amplamente usado para rodar firewalls e outras infraestruturas críticas. A falha permitia que um atacante derrubasse remotamente qualquer máquina rodando o sistema operacional simplesmente conectando-se a ela.
- Uma falha de 16 anos no FFmpeg — a biblioteca usada por incontáveis softwares para codificar e decodificar vídeo. A vulnerabilidade estava em uma linha de código que ferramentas de teste automatizado tinham atingido cinco milhões de vezes sem jamais capturar o problema.
- Múltiplas vulnerabilidades encadeadas no kernel Linux — o software que roda a maioria dos servidores do mundo. O modelo encontrou e combinou de forma autônoma várias falhas para permitir que um atacante escalasse de um acesso de usuário comum para controle completo da máquina.
Todas essas vulnerabilidades já foram reportadas aos mantenedores dos softwares afetados e já receberam correções. Para muitas outras descobertas, a Anthropic publicou um hash criptográfico dos detalhes no blog do Frontier Red Team, com a promessa de revelar os detalhes completos após as correções estarem implementadas. Esse é o tipo de abordagem responsável que faz diferença quando o assunto é divulgação de falhas de segurança.
É exatamente aí que mora o dilema que moveu as grandes empresas a agirem tão rapidamente. Uma tecnologia com esse nível de sofisticação, se usada sem nenhum tipo de governança ou coordenação, poderia ser instrumentalizada para fins completamente opostos aos da defesa. A mesma inteligência que encontra uma brecha para corrigi-la pode encontrá-la para explorá-la. Esse cenário, reconhecido publicamente pela própria Anthropic, foi o gatilho para o surgimento de uma das iniciativas de cibersegurança mais ambiciosas já vistas no setor de tecnologia.
Project Glasswing: quando a concorrência dá lugar à colaboração
O Project Glasswing é, antes de qualquer coisa, um sinal claro de que o setor de tecnologia está levando a sério a responsabilidade que acompanha o avanço da inteligência artificial. A iniciativa reuniu empresas que, em qualquer outro contexto, estariam disputando mercado de forma intensa — AWS e Google competem diretamente na nuvem, Microsoft e Apple brigam pelo desktop e mobile, NVIDIA e outros players do hardware vivem em ciclos constantes de rivalidade. Mas diante do potencial de impacto que o Claude Mythos Preview representa, essas diferenças foram colocadas de lado em função de um objetivo comum: garantir que o poder de descoberta de vulnerabilidades do modelo seja usado para fortalecer a infraestrutura digital global, não para comprometê-la.
A lógica por trás da coalizão é bastante direta. Nenhuma empresa, por maior que seja, tem visibilidade completa sobre todos os sistemas que compõem a infraestrutura digital moderna. Uma vulnerabilidade encontrada em uma camada de um sistema operacional pode ter impactos em cascata sobre serviços em nuvem, aplicativos financeiros, redes corporativas e dispositivos de consumo ao mesmo tempo. Quando você reúne AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, Broadcom, Palo Alto Networks e JPMorganChase em torno de uma mesma plataforma de detecção baseada em inteligência artificial, você cria uma cobertura que nenhum desses players conseguiria sozinho. É uma soma de perspectivas, dados e expertise que multiplica o efeito defensivo do Claude Mythos Preview de forma exponencial.
Além dos parceiros de lançamento, a Anthropic estendeu o acesso a um grupo de mais de 40 organizações adicionais que constroem ou mantêm infraestrutura de software crítico, para que possam usar o modelo para escanear e proteger tanto sistemas proprietários quanto de código aberto. Esse alcance ampliado mostra que a iniciativa não é apenas um clube exclusivo de grandes corporações — é uma rede que busca cobrir o máximo possível da superfície de ataque digital compartilhada.
O dinheiro por trás da iniciativa: US$ 100 milhões em créditos e doações diretas
Falar é uma coisa, colocar dinheiro na mesa é outra. E a Anthropic fez ambos. A empresa comprometeu até US$ 100 milhões em créditos de uso para o Claude Mythos Preview ao longo desses esforços. Esse valor cobre utilização substancial durante o período de pesquisa. Depois disso, o modelo continuará disponível para os participantes a US$ 25 por milhão de tokens de entrada e US$ 125 por milhão de tokens de saída, com acesso via Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry.
Além dos créditos, a Anthropic fez doações diretas que totalizam US$ 4 milhões para organizações de segurança de código aberto:
- US$ 2,5 milhões para Alpha-Omega e OpenSSF, através da Linux Foundation
- US$ 1,5 milhão para a Apache Software Foundation
Esse investimento é particularmente relevante porque ataca um dos pontos mais vulneráveis do ecossistema de software: os projetos de código aberto. Como destacou Jim Zemlin, diretor executivo da Linux Foundation, software de código aberto constitui a vasta maioria do código nos sistemas modernos, incluindo os próprios sistemas que agentes de IA usam para escrever novo software. Historicamente, mantenedores de projetos open source foram deixados por conta própria quando o assunto é segurança — e agora, com acesso a modelos de nova geração que podem identificar e corrigir vulnerabilidades proativamente e em escala, existe um caminho real para mudar essa equação.
O que os parceiros já estão dizendo sobre os resultados
Vários dos parceiros do Project Glasswing já tiveram acesso ao Claude Mythos Preview por algumas semanas e compartilharam suas impressões iniciais. Os relatos são consistentes: o modelo está encontrando coisas que ninguém mais encontrou.
Chuck Robbins, CEO da Cisco, descreveu a situação como um limiar que foi cruzado — as capacidades de IA mudaram fundamentalmente a urgência necessária para proteger infraestrutura crítica contra ameaças cibernéticas, e não há volta. O trabalho fundacional da Cisco com esses modelos mostrou que é possível identificar e corrigir vulnerabilidades de segurança em hardware e software em um ritmo e escala antes impossíveis.
A AWS destacou que suas equipes analisam mais de 400 trilhões de fluxos de rede por dia em busca de ameaças, e que a IA é central para essa capacidade de defesa em escala. A empresa tem testado o Claude Mythos Preview em suas próprias operações de segurança, aplicando-o a bases de código críticas, onde o modelo já está ajudando a fortalecer o código.
Igor Tsyganskiy, vice-presidente executivo de cibersegurança e pesquisa da Microsoft, apontou que quando testado contra o CTI-REALM — benchmark de segurança open source da Microsoft — o Claude Mythos Preview mostrou melhorias substanciais em comparação com modelos anteriores.
George Kurtz, CEO da CrowdStrike, resumiu bem a urgência: a janela entre uma vulnerabilidade ser descoberta e ser explorada por um adversário colapsou — o que antes levava meses agora acontece em minutos com IA.
Nikesh Arora, da Palo Alto Networks, foi ainda mais direto: o modelo encontrou vulnerabilidades complexas que modelos de geração anterior perderam completamente. E alertou que todos precisam se preparar para atacantes assistidos por IA — haverá mais ataques, ataques mais rápidos e ataques mais sofisticados.
Por que as vulnerabilidades encontradas pelo Claude Mythos são diferentes das que já conhecíamos
Existe uma distinção importante entre as vulnerabilidades que pesquisadores humanos costumam encontrar e as que o Claude Mythos Preview está identificando. Os métodos tradicionais de descoberta de falhas de segurança — seja por meio de fuzzing automatizado, análise estática de código ou testes de penetração manuais — têm eficácia comprovada, mas operam dentro de limitações bastante conhecidas. Eles dependem de hipóteses pré-definidas sobre onde as falhas podem estar, de padrões previamente documentados e da experiência acumulada das equipes que os operam.
O Claude Mythos Preview, por outro lado, aborda o problema de uma perspectiva radicalmente diferente: ele raciocina sobre o comportamento do sistema como um todo, identifica interações inesperadas entre componentes e consegue seguir caminhos de análise que simplesmente não existem em nenhum playbook de segurança tradicional. Dez anos após o primeiro DARPA Cyber Grand Challenge, modelos de IA de fronteira estão agora se tornando competitivos com os melhores humanos na tarefa de encontrar e explorar vulnerabilidades.
Isso significa que o modelo está encontrando categorias de vulnerabilidades que não foram descritas anteriormente na literatura de segurança — brechas que existem na intersecção entre diferentes camadas de software, que dependem de condições específicas de ambiente para serem ativadas ou que surgem de combinações de funcionalidades que individualmente parecem completamente seguras. Esse tipo de falha é particularmente perigoso porque é exatamente o que agentes mal-intencionados sofisticados buscam: vetores de ataque que as ferramentas convencionais de defesa simplesmente não estão equipadas para detectar.
O ritmo com que essas descobertas estão acontecendo também é um fator que não pode ser ignorado. Enquanto uma equipe de pesquisa de segurança de alta performance pode levar semanas ou meses para identificar e documentar uma vulnerabilidade crítica, o Claude Mythos Preview opera em uma escala de tempo completamente diferente. Isso cria uma pressão real sobre os ciclos de desenvolvimento e correção das empresas de software, que precisam estar preparadas para responder com uma agilidade muito maior do que a que historicamente caracterizou o setor.
Os planos de longo prazo e o framework de governança
Outro aspecto fundamental do Project Glasswing é o componente de governança. A iniciativa não é apenas sobre compartilhar acesso ao modelo — ela envolve protocolos claros sobre como as vulnerabilidades encontradas são comunicadas, qual é o prazo para as empresas responsáveis pelos sistemas afetados implementarem correções antes que qualquer informação seja tornada pública, e como garantir que o processo de divulgação responsável seja respeitado por todos os membros da coalizão.
A Anthropic informou que pretende que esse trabalho cresça em escopo e continue por muitos meses. Dentro de 90 dias, a empresa publicará um relatório aberto sobre o que aprendeu, as vulnerabilidades corrigidas e as melhorias que podem ser divulgadas. Além disso, a Anthropic vai colaborar com organizações de segurança líderes para produzir um conjunto de recomendações práticas sobre como as práticas de segurança devem evoluir na era da IA, potencialmente incluindo:
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
- Processos de divulgação de vulnerabilidades
- Processos de atualização de software
- Segurança de código aberto e cadeia de suprimentos
- Ciclo de vida de desenvolvimento de software e práticas de design seguro
- Padrões para indústrias regulamentadas
- Escalabilidade e automação de triagem
- Automação de patching
Esse framework de responsabilidade compartilhada é o que diferencia o Glasswing de uma simples parceria tecnológica e o posiciona como um modelo de colaboração que pode ser referência para o setor por muitos anos.
É importante notar que a Anthropic não planeja disponibilizar o Claude Mythos Preview para o público geral. O objetivo eventual é habilitar que modelos da classe Mythos sejam implantados em escala com segurança — para cibersegurança e para os inúmeros outros benefícios que modelos tão capazes trarão. Para isso, a empresa precisa avançar no desenvolvimento de salvaguardas que detectem e bloqueiem os outputs mais perigosos do modelo. Novas salvaguardas devem ser lançadas com um próximo modelo Claude Opus, permitindo refiná-las com um modelo que não apresente o mesmo nível de risco que o Mythos Preview.
O papel dos governos e a dimensão geopolítica
O artigo da Anthropic não esconde a dimensão geopolítica da situação. A empresa reconhece explicitamente que ataques cibernéticos patrocinados por estados têm ameaçado comprometer infraestruturas que sustentam tanto a vida civil quanto a prontidão militar. O custo financeiro global do cibercrime é difícil de estimar com precisão, mas pode estar na casa dos US$ 500 bilhões por ano.
A Anthropic informou que tem mantido discussões contínuas com oficiais do governo dos Estados Unidos sobre o Claude Mythos Preview e suas capacidades cibernéticas ofensivas e defensivas. A empresa enfatizou que proteger infraestrutura crítica é uma prioridade de segurança nacional de primeira ordem para países democráticos, e que a emergência dessas capacidades cibernéticas é mais uma razão pela qual é fundamental manter uma liderança decisiva em tecnologia de IA.
A visão de médio prazo inclui a possibilidade de criação de um órgão independente de terceiros — que possa reunir organizações dos setores público e privado — como o lar ideal para a continuidade desses projetos de cibersegurança em larga escala. Esse tipo de estrutura institucional seria fundamental para garantir continuidade e legitimidade ao esforço, independentemente das dinâmicas de mercado entre as empresas participantes.
A janela de tempo que ninguém pode ignorar
Há um elemento de urgência no Project Glasswing que vai além do entusiasmo natural com uma tecnologia nova. A realidade é que o nível de capacidade demonstrado pelo Claude Mythos Preview em identificar vulnerabilidades de forma autônoma não vai permanecer exclusividade da Anthropic por muito tempo. O avanço da inteligência artificial está acontecendo de forma acelerada em múltiplas frentes simultaneamente, e é razoável antecipar que outros laboratórios de IA — alguns com alinhamentos e estruturas de governança muito diferentes — chegarão a capacidades similares em um horizonte não muito distante. Como a própria Anthropic reconheceu, capacidades de IA de fronteira devem avançar substancialmente ao longo dos próximos meses.
Quando isso acontecer, a questão não será mais se existe uma IA capaz de encontrar vulnerabilidades críticas em escala, mas sim quem está usando essa IA e para quê.
Esse é o contexto que transforma o Project Glasswing de uma iniciativa interessante em algo que tem implicações reais para a segurança de bilhões de pessoas ao redor do mundo. A infraestrutura digital moderna está por baixo de praticamente tudo: sistemas bancários, registros médicos, redes de logística, comunicações governamentais, redes de energia. Uma vulnerabilidade crítica não corrigida em qualquer um desses sistemas, explorada com a eficiência que um modelo como o Claude Mythos Preview tornaria possível para um agente mal-intencionado, teria consequências que vão muito além de dados comprometidos ou interrupção de serviços.
O que o Project Glasswing está tentando fazer, em essência, é criar uma vantagem estrutural para o lado da defesa antes que o equilíbrio se rompa de forma irreversível. Usar o Claude Mythos Preview para encontrar e corrigir vulnerabilidades antes que elas sejam descobertas e exploradas por outros é uma corrida contra o tempo — e a única forma de vencer essa corrida é com a velocidade e escala que apenas a inteligência artificial pode oferecer, operada dentro de um framework de responsabilidade que as maiores empresas do mundo estão agora se comprometendo publicamente a respeitar.
O trabalho de defender a infraestrutura cibernética do mundo pode levar anos. As capacidades de IA de fronteira provavelmente avançarão substancialmente nos próximos meses. Para que os defensores saiam na frente, a hora de agir é agora. 🔐
