Projeto Glasswing: a coalizão bilionária que quer usar IA para blindar o software mais crítico do planeta
O Projeto Glasswing chegou para mudar o jogo da cibersegurança de um jeito que poucos esperavam. E quando dizemos poucos, estamos falando de praticamente todo mundo, porque o que aconteceu nas últimas semanas dentro dessa iniciativa desafia o que a maioria dos profissionais de segurança considerava possível com inteligência artificial aplicada a código.
Imagina uma inteligência artificial que, em poucas semanas, encontrou milhares de falhas críticas em todos os grandes sistemas operacionais e navegadores do mundo, incluindo vulnerabilidades que estavam escondidas há décadas, passando despercebidas por milhões de testes automatizados e anos de revisão humana. Isso não é ficção científica, não é conceito de laboratório e também não é exagero de release corporativo. É o que aconteceu de verdade, em um projeto que pode muito bem representar um divisor de águas na forma como o mundo lida com segurança digital.
Esse é o Claude Mythos Preview, o modelo frontier da Anthropic que ainda nem foi lançado ao público, mas já está redefinindo o que a IA consegue fazer no campo da segurança digital. 🔍 O modelo opera em um nível de raciocínio técnico tão avançado que consegue não apenas identificar padrões suspeitos no código, mas também compreender contexto, simular vetores de ataque e propor caminhos de correção com uma precisão que impressionou até os engenheiros mais experientes das empresas envolvidas no projeto.
E a notícia boa é que, pelo menos por enquanto, esse poder está sendo usado para o bem.
Uma coalizão de peso para enfrentar um problema gigante
A Anthropic reuniu alguns dos maiores nomes da tecnologia global, como AWS, Apple, Broadcom, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, Palo Alto Networks e JPMorganChase, além da Linux Foundation, em torno de uma missão clara: usar IA para encontrar e corrigir falhas críticas antes que alguém mal-intencionado faça isso primeiro. Essa não é uma parceria superficial de relações públicas. Cada uma dessas empresas trouxe para a mesa acesso a sistemas reais, infraestruturas críticas e times de segurança altamente especializados, criando um ambiente de colaboração que raramente se vê no setor de tecnologia, especialmente quando o assunto envolve vulnerabilidades sensíveis.
O raciocínio por trás disso é simples e assustador ao mesmo tempo. Se uma IA já consegue superar a maioria dos especialistas humanos em encontrar e explorar vulnerabilidades de software, é só uma questão de tempo até que capacidades parecidas cheguem às mãos erradas. 😬 E quando isso acontecer, o mundo precisará estar preparado, com patches aplicados, sistemas atualizados e defesas consolidadas. A janela de oportunidade para agir de forma proativa é exatamente agora, e o Projeto Glasswing é a resposta mais concreta que surgiu até hoje para esse desafio.
Além dos parceiros de lançamento, a Anthropic também estendeu o acesso ao Mythos Preview a um grupo de mais de 40 organizações adicionais que constroem ou mantêm infraestrutura de software crítica. Essas empresas podem usar o modelo para escanear e proteger tanto sistemas proprietários quanto projetos de código aberto. Para viabilizar tudo isso, a Anthropic está comprometendo até 100 milhões de dólares em créditos de uso do Mythos Preview, além de 4 milhões de dólares em doações diretas para organizações de segurança open-source, incluindo 2,5 milhões para Alpha-Omega e OpenSSF por meio da Linux Foundation, e 1,5 milhão para a Apache Software Foundation.
Agir agora, de forma coordenada, pode ser a diferença entre um futuro digital mais seguro e um cenário de caos cibernético em escala global. A lógica é a mesma de qualquer corrida tecnológica: quem chega primeiro define as regras. E nesse caso, chegar primeiro significa identificar as brechas antes que elas sejam exploradas, corrigir o que pode ser corrigido e documentar o que ainda representa risco, criando uma base de conhecimento em cibersegurança que vai muito além do que qualquer equipe humana conseguiria produzir sozinha em anos de trabalho contínuo.
O cenário atual da cibersegurança e por que a IA muda tudo
O software que todo mundo usa no dia a dia, desde sistemas bancários e prontuários médicos até redes logísticas e infraestrutura de energia, sempre teve bugs. Muitos são irrelevantes, mas alguns representam falhas graves de segurança que, se descobertas por atacantes, permitem sequestrar sistemas, interromper operações e roubar dados sensíveis em escala massiva.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
Os exemplos não faltam. Ataques cibernéticos já causaram danos sérios a redes corporativas, sistemas de saúde como o caso do WannaCry que afetou o NHS britânico, infraestrutura de energia como o ataque ao Colonial Pipeline nos Estados Unidos, aeroportos na Europa e agências governamentais em diversos países. No cenário geopolítico, ataques patrocinados por estados representam uma ameaça constante à infraestrutura civil e militar. Até ataques menores, direcionados a hospitais ou escolas individuais, conseguem causar prejuízo econômico substancial, expor dados sensíveis e colocar vidas em risco. As estimativas do custo financeiro global do cibercrime são difíceis de calcular com precisão, mas giram em torno de 500 bilhões de dólares por ano.
Muitas dessas falhas passavam anos sem ser notadas porque encontrá-las e explorá-las exigia uma expertise que só um punhado de especialistas no mundo possuía. Com os modelos frontier de IA mais recentes, o custo, o esforço e o nível de conhecimento necessário para descobrir e explorar vulnerabilidades de software caíram drasticamente. Ao longo do último ano, modelos de IA se tornaram cada vez mais eficazes em ler e raciocinar sobre código, mostrando uma capacidade impressionante de identificar falhas e desenvolver maneiras de explorá-las. O Claude Mythos Preview representa um salto qualitativo nessas habilidades cibernéticas, encontrando vulnerabilidades que sobreviveram a décadas de revisão humana e desenvolvendo exploits cada vez mais sofisticados.
Dez anos depois do primeiro DARPA Cyber Grand Challenge, modelos frontier de IA estão finalmente se tornando competitivos com os melhores humanos na descoberta e exploração de vulnerabilidades. Sem as salvaguardas necessárias, essas capacidades poderiam ser usadas para explorar as muitas falhas existentes no software mais importante do mundo, tornando ataques cibernéticos de todos os tipos muito mais frequentes e destrutivos. 🛡️
Como o Claude Mythos Preview opera na prática
O Mythos Preview não é um scanner comum de vulnerabilidades. Ferramentas tradicionais de análise de segurança funcionam com base em assinaturas conhecidas, padrões predefinidos e listas de CVEs já catalogados. Elas são úteis, mas têm um teto claro: não conseguem raciocinar sobre o que ainda não foi descoberto. O Claude Mythos Preview opera de forma completamente diferente. Ele analisa código como um engenheiro sênior faria, entendendo intenção, fluxo de dados, interações entre componentes e possíveis pontos de falha que só aparecem quando você combina múltiplos fatores ao mesmo tempo. Esse tipo de raciocínio encadeado é exatamente o que permite que ele encontre falhas que passaram despercebidas por décadas.
Durante os testes realizados no contexto do Projeto Glasswing, o modelo foi aplicado sobre bases de código de sistemas operacionais amplamente utilizados e navegadores com bilhões de usuários ativos. O resultado foi uma lista extensa de vulnerabilidades zero-day, ou seja, falhas que eram desconhecidas pelos próprios desenvolvedores do software e para as quais não existia nenhuma correção disponível.
Três exemplos concretos ilustram bem o nível do que foi encontrado:
- OpenBSD, 27 anos de falha escondida: O Mythos Preview encontrou uma vulnerabilidade com 27 anos de idade no OpenBSD, um sistema operacional com fama de ser um dos mais seguros do mundo, amplamente usado para rodar firewalls e outras infraestruturas críticas. A falha permitia que um atacante travasse remotamente qualquer máquina rodando o sistema simplesmente conectando-se a ela.
- FFmpeg, 16 anos e 5 milhões de testes cegos: O modelo também descobriu uma vulnerabilidade de 16 anos no FFmpeg, a biblioteca usada por inúmeros softwares para codificar e decodificar vídeo. A falha estava em uma linha de código que ferramentas de teste automatizado haviam executado cinco milhões de vezes sem jamais detectar o problema.
- Kernel Linux, cadeia de exploits autônoma: De forma totalmente autônoma, o modelo encontrou e encadeou várias vulnerabilidades no kernel do Linux, o software que roda a maioria dos servidores do mundo, permitindo que um atacante escalasse de acesso de usuário comum para controle total da máquina.
Todas essas vulnerabilidades foram reportadas aos mantenedores dos respectivos softwares e já receberam correções. Para muitas outras falhas descobertas, a Anthropic publicou um hash criptográfico dos detalhes e pretende revelar os dados completos após os patches serem aplicados. O modelo conseguiu identificar quase todas essas vulnerabilidades, e desenvolver muitos dos exploits relacionados, de forma totalmente autônoma, sem nenhum direcionamento humano. 🤯
Outro aspecto que chama atenção é a velocidade. Equipes humanas de bug bounty e pentest levam semanas ou meses para auditar um sistema complexo com profundidade real. O Mythos Preview conseguiu fazer isso em escala, cobrindo múltiplos sistemas simultaneamente, sem perder a granularidade da análise. Isso não significa que humanos deixaram de ser necessários, muito pelo contrário. Os engenheiros de segurança das empresas parceiras foram fundamentais para validar as descobertas, contextualizar os riscos e priorizar as correções. O que mudou é que a IA elevou o teto do que é possível fazer em termos de cobertura e profundidade de análise dentro de um mesmo ciclo de trabalho. 🚀
O que os parceiros estão dizendo
As reações das empresas envolvidas no Projeto Glasswing deixam claro que o impacto do Mythos Preview vai além do marketing institucional. Cada uma delas trouxe perspectivas práticas que reforçam a gravidade do momento.
A Cisco destacou que as capacidades da IA cruzaram um limiar que muda fundamentalmente a urgência necessária para proteger infraestrutura crítica, e que os métodos antigos de endurecimento de sistemas não são mais suficientes. A AWS mencionou que já está usando o Mythos Preview em suas próprias operações de segurança e aplicando-o em bases de código críticas, onde o modelo já está ajudando a fortalecer o código. A Microsoft, por meio do seu EVP de Cibersegurança Igor Tsyganskiy, afirmou que o Mythos Preview mostrou melhorias substanciais em relação a modelos anteriores quando testado contra o CTI-REALM, o benchmark de segurança open-source da empresa.
A CrowdStrike foi direta ao apontar que a janela entre uma vulnerabilidade ser descoberta e ser explorada por um adversário colapsou, passando de meses para minutos com o auxílio de IA. A Linux Foundation ressaltou que o projeto oferece um caminho concreto para democratizar a segurança no ecossistema open-source, onde mantenedores historicamente tiveram que lidar com questões de segurança sozinhos. O JPMorganChase destacou que o projeto oferece uma oportunidade única para avaliar ferramentas de IA de nova geração para cibersegurança defensiva. E o Google reforçou seu compromisso com ferramentas como Big Sleep e CodeMender, enquanto se mostrou satisfeito em disponibilizar o Mythos Preview aos participantes via Vertex AI.
A Palo Alto Networks e a NVIDIA também contribuíram com avaliações práticas, com a Palo Alto destacando que o modelo identificou vulnerabilidades complexas que modelos de geração anterior haviam ignorado completamente, e alertando que é preciso se preparar para atacantes assistidos por IA, com ataques mais frequentes, mais rápidos e mais sofisticados.
Desempenho técnico e benchmarks
As capacidades cibernéticas do Mythos Preview são resultado direto de suas habilidades avançadas em codificação agêntica e raciocínio. Nos benchmarks divulgados, o modelo alcançou as pontuações mais altas já registradas em uma variedade de tarefas de codificação de software, incluindo SWE-bench Verified, Pro e Multilingual, SWE-bench Multimodal e Terminal-Bench 2.0. Os testes de cybersecurity, como o CyberGym, reforçam a diferença substancial entre o Mythos Preview e o próximo melhor modelo da Anthropic, o Claude Opus 4.6.
No BrowseComp, o Mythos Preview pontuou acima do Opus 4.6 enquanto usava 4,9 vezes menos tokens. No Terminal-Bench 2.0, com limites de timeout estendidos para quatro horas e usando as atualizações do Terminal-Bench 2.1, o modelo atingiu 92,1% de pontuação. Esses números não são apenas melhorias incrementais. Eles representam um salto geracional na capacidade de modelos de linguagem aplicados a tarefas complexas de engenharia de software e segurança.
Mais informações sobre as capacidades do modelo, suas propriedades de segurança e características gerais podem ser encontradas no system card do Claude Mythos Preview, publicado pela Anthropic.
O que está em jogo para a cibersegurança global
A inteligência artificial aplicada à cibersegurança não é um conceito novo. Empresas do setor já usam machine learning para detecção de anomalias, classificação de ameaças e resposta automatizada a incidentes há alguns anos. Mas o que o Projeto Glasswing representa é algo qualitativamente diferente. Estamos falando de um modelo capaz de raciocínio complexo, que entende sistemas de software com uma profundidade que vai além da estatística e dos padrões históricos. Isso abre uma nova fronteira, onde a IA não é apenas uma ferramenta de apoio, mas um agente ativo na descoberta de riscos que ainda não existem no radar de ninguém.
O impacto disso para o ecossistema de segurança é enorme. Vulnerabilidades que ficam expostas por anos sem serem descobertas são o principal vetor de ataques sofisticados, incluindo aqueles atribuídos a grupos patrocinados por estados. Campanhas de espionagem industrial, ransomware em infraestruturas críticas e comprometimentos de larga escala geralmente se apoiam exatamente nesse tipo de falha silenciosa, aquela que ninguém sabia que existia até que alguém a explorou. Reduzir esse estoque de vulnerabilidades desconhecidas é, portanto, uma das formas mais efetivas de elevar o custo e a dificuldade dos ataques cibernéticos de forma estrutural, não apenas reativa.
Existe, claro, um outro lado dessa moeda que precisa ser levado a sério. Se o Claude Mythos Preview consegue encontrar falhas com essa eficiência, um modelo com capacidades semelhantes nas mãos de agentes maliciosos representaria um risco sem precedentes. A Anthropic e seus parceiros estão claramente cientes disso, e a própria estrutura do Projeto Glasswing existe, em parte, para criar uma vantagem defensiva antes que o cenário ofensivo se torne dominante. A empresa não planeja tornar o Mythos Preview disponível ao público geral. O objetivo eventual é permitir que usuários utilizem modelos da classe Mythos em escala e com segurança, mas para isso será necessário avançar no desenvolvimento de salvaguardas que detectem e bloqueiem os outputs mais perigosos do modelo. A Anthropic planeja lançar novas salvaguardas com um futuro modelo Claude Opus, permitindo refiná-las com um modelo que não apresente o mesmo nível de risco do Mythos Preview. 🔐
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
Os planos de longo prazo do Projeto Glasswing
O anúncio de hoje é apenas o começo de um esforço de longo prazo. Os parceiros do Projeto Glasswing receberão acesso ao Claude Mythos Preview para encontrar e corrigir vulnerabilidades em seus sistemas fundacionais, que representam uma parcela muito significativa da superfície de ataque cibernético compartilhada do mundo. O trabalho deve se concentrar em tarefas como detecção local de vulnerabilidades, teste black box de binários, proteção de endpoints e testes de penetração em sistemas.
Após o período coberto pelos créditos de uso, o Claude Mythos Preview estará disponível para os participantes a 25 dólares por milhão de tokens de entrada e 125 dólares por milhão de tokens de saída. Os participantes podem acessar o modelo via Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry.
A Anthropic pretende que o trabalho cresça em escopo e continue por muitos meses, compartilhando o máximo possível para que outras organizações apliquem as lições à sua própria segurança. Os parceiros vão compartilhar, na medida do possível, informações e melhores práticas entre si. Dentro de 90 dias, a Anthropic publicará um relatório sobre o que foi aprendido, incluindo vulnerabilidades corrigidas e melhorias que possam ser divulgadas. A empresa também colaborará com organizações de segurança líderes para produzir um conjunto de recomendações práticas sobre como as práticas de segurança devem evoluir na era da IA, abrangendo potencialmente:
- Processos de divulgação de vulnerabilidades
- Processos de atualização de software
- Segurança de código aberto e cadeia de suprimentos
- Ciclo de vida de desenvolvimento de software e práticas de design seguro
- Padrões para indústrias regulamentadas
- Escalabilidade e automação de triagem
- Automação de patching
A Anthropic também tem mantido discussões contínuas com funcionários do governo dos EUA sobre o Claude Mythos Preview e suas capacidades cibernéticas ofensivas e defensivas. A empresa reforça que proteger infraestrutura crítica é uma prioridade máxima de segurança nacional para países democráticos, e que a emergência dessas capacidades cibernéticas é mais uma razão para que os EUA e seus aliados mantenham uma liderança decisiva em tecnologia de IA.
Por que esse movimento importa agora
O timing do Projeto Glasswing não é coincidência. O setor de inteligência artificial avançou de forma acelerada nos últimos dois anos, e os modelos frontier estão chegando a um ponto onde suas capacidades começam a cruzar com áreas historicamente reservadas a especialistas altamente treinados. Segurança ofensiva é uma dessas áreas. A comunidade de segurança já vinha discutindo, em fóruns especializados e conferências como a DEF CON e a Black Hat, sobre o potencial de modelos de linguagem avançados para automatizar a descoberta e exploração de vulnerabilidades. O que o Glasswing faz é transformar esse debate teórico em ação concreta, colocando a capacidade ofensiva a serviço da defesa de forma estruturada e coordenada.
Para as empresas parceiras, a participação no projeto também representa um reconhecimento claro de que o modelo atual de segurança, baseado principalmente em auditorias periódicas, programas de bug bounty e monitoramento reativo, já não é suficiente para o nível de sofisticação das ameaças atuais. Integrar um modelo como o Mythos Preview ao ciclo de desenvolvimento e manutenção de software é um passo em direção a uma postura de segurança genuinamente proativa, onde as falhas são encontradas e corrigidas antes de chegarem à produção, e não depois de um incidente já ter acontecido.
A visão de longo prazo do projeto inclui a possibilidade de que um órgão independente e terceirizado, capaz de reunir organizações dos setores público e privado, seja o espaço ideal para dar continuidade a projetos de cibersegurança em larga escala como este. A Anthropic convida outros membros da indústria de IA a se juntarem ao esforço para ajudar a definir padrões para o setor.
O que o Projeto Glasswing deixa claro, acima de tudo, é que a inteligência artificial já cruzou uma linha importante em termos de capacidade técnica aplicada à cibersegurança. O debate agora não é mais sobre se isso vai acontecer, mas sobre como garantir que esse poder seja direcionado de forma responsável, com governança adequada, transparência nos processos e colaboração entre quem constrói os sistemas, quem os protege e quem desenvolve as ferramentas de IA que vão moldar esse novo cenário. A corrida já começou, e o relógio está correndo para todo mundo. 🌐
