Projeto Glasswing: a iniciativa que reúne gigantes da tecnologia para usar IA na defesa cibernética global
A Inteligência Artificial chegou a um ponto em que ela pode encontrar falhas de segurança em sistemas críticos antes que qualquer humano perceba que elas existem.
E não estamos falando de brechas simples ou recentes.
Estamos falando de vulnerabilidades que ficaram escondidas por décadas, sobrevivendo a milhões de testes automatizados e anos de revisão humana, sem nunca serem detectadas.
Esse cenário gerou tanto uma oportunidade quanto um alerta urgente, e foi exatamente isso que motivou o nascimento do Projeto Glasswing, uma iniciativa que reúne alguns dos maiores nomes da tecnologia mundial para usar essa mesma capacidade da IA a favor da defesa digital.
Por trás do projeto estão empresas como Amazon Web Services, Apple, Cisco, Microsoft, Google, NVIDIA, JPMorganChase, CrowdStrike, Broadcom, Palo Alto Networks e a própria Anthropic, junto com a Linux Foundation.
Uma lista que, por si só, já diz muito sobre o nível de seriedade da iniciativa. 🔐
O gatilho para tudo isso foi o Claude Mythos Preview, um modelo de IA de fronteira ainda não lançado ao público que demonstrou uma capacidade impressionante: encontrar e explorar vulnerabilidades de software de forma autônoma, em um nível que supera praticamente qualquer especialista humano em segurança.
Não é exagero e não é ficção científica.
É o que está acontecendo agora, e entender o que isso significa, tanto para o bem quanto para o risco, é o que este artigo se propõe a fazer. 👇
O que é o Projeto Glasswing e por que ele importa tanto
O Projeto Glasswing é uma iniciativa colaborativa focada em cibersegurança que usa modelos de IA avançados para identificar e corrigir vulnerabilidades críticas em softwares amplamente utilizados ao redor do mundo. O nome remete à transparência, à ideia de tornar visível o que estava oculto por muito tempo, como se as paredes dos sistemas se tornassem de vidro para quem sabe onde olhar. E essa metáfora faz todo o sentido quando você entende o que o projeto realmente faz na prática: ele coloca a Inteligência Artificial no papel de um pesquisador de segurança incansável, capaz de analisar milhões de linhas de código em busca de falhas que passaram despercebidas por anos, décadas até.
- E-BOOK GRATUITO
Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.
Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.
Entrega em PDF no seu e-mail · Sem spam · LGPD
🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.
A iniciativa nasceu em resposta a uma realidade que a indústria de tecnologia não pode mais ignorar. Com o avanço acelerado dos modelos de IA, ficou evidente que a mesma tecnologia capaz de detectar ameaças também pode ser usada para criá-las. Esse duplo potencial criou uma corrida silenciosa: quem vai usar isso primeiro, os defensores ou os atacantes? O Glasswing aposta na colaboração entre gigantes da indústria para garantir que a balança penda para o lado certo, o da proteção. E o que torna isso ainda mais significativo é que não se trata de uma iniciativa fechada ou proprietária. Ao envolver a Linux Foundation, o projeto assume um compromisso com o ecossistema open source, que é exatamente onde boa parte das vulnerabilidades mais críticas costuma viver, justamente porque o código é público e qualquer um, bem-intencionado ou não, pode estudá-lo.
Quando você coloca na mesma mesa empresas como Microsoft, Google, Apple, Amazon Web Services, NVIDIA e Anthropic, o sinal que isso manda para o mercado é claro: a cibersegurança baseada em IA deixou de ser um projeto experimental e virou uma prioridade estratégica de nível global. Cada uma dessas empresas tem infraestruturas críticas que dependem de sistemas seguros, e todas elas já enfrentaram ou estão sujeitas a ataques sofisticados. A união desses players em torno de um objetivo comum é, no mínimo, um marco histórico para o setor de segurança digital.
Claude Mythos Preview: o modelo que mudou o jogo
O Claude Mythos Preview é o nome do modelo desenvolvido pela Anthropic que funcionou como ponto de partida para toda essa mobilização. Trata-se de um modelo de propósito geral, ainda não disponível publicamente, que revelou um fato contundente: os modelos de IA atingiram um nível de capacidade em codificação onde podem superar todos, exceto os humanos mais qualificados, na tarefa de encontrar e explorar vulnerabilidades de software.
Em testes internos e em avaliações controladas, esse modelo demonstrou a capacidade de não apenas identificar vulnerabilidades em código, mas também de compreender o contexto em que elas existem, simular possíveis vetores de ataque e desenvolver exploits sofisticados, tudo isso de forma autônoma, sem qualquer direcionamento humano. Para ter uma noção do impacto disso, pense que pesquisadores de segurança experientes levam dias ou semanas para auditar um sistema complexo. O Claude Mythos Preview faz isso em uma fração do tempo, com uma profundidade de análise que ultrapassa o que qualquer time humano conseguiria cobrir manualmente.
O que diferencia esse modelo de outras ferramentas de análise de segurança que já existem no mercado é a combinação entre raciocínio contextual e capacidade técnica. Ferramentas tradicionais de análise estática de código, como scanners de vulnerabilidade, trabalham com padrões conhecidos. Elas procuram o que já foi catalogado, o que já tem nome e CVE registrado. O Claude Mythos Preview, por outro lado, consegue raciocinar sobre o comportamento do código, entender interações entre componentes e identificar falhas que ainda não têm nome, as chamadas vulnerabilidades de dia zero, que são exatamente as mais perigosas porque ninguém está se defendendo delas ainda. O modelo já encontrou milhares dessas vulnerabilidades de alta severidade, incluindo algumas em cada sistema operacional e navegador web importante. Essa distinção é fundamental para entender por que o projeto foi recebido com tanta atenção pela indústria de cibersegurança.
É claro que uma capacidade desse nível levanta questões sérias. Se um modelo de Inteligência Artificial consegue encontrar e explorar vulnerabilidades de forma autônoma, o que acontece quando essa tecnologia cai nas mãos erradas? Essa pergunta não é paranoia, é uma preocupação legítima que os próprios criadores do projeto reconhecem abertamente. Dado o ritmo de progresso da IA, não vai demorar muito para que tais capacidades se proliferem, potencialmente além de atores comprometidos com seu uso seguro. As consequências para economias, segurança pública e segurança nacional podem ser graves. Por isso, o Glasswing não é apenas sobre detectar falhas, ele também envolve protocolos rigorosos de divulgação responsável, onde as vulnerabilidades encontradas são comunicadas de forma controlada aos mantenedores dos softwares afetados antes de qualquer exposição pública. Isso garante que a janela de exposição seja a menor possível e que as correções cheguem aos usuários antes que agentes mal-intencionados possam explorar as falhas. 🛡️
Vulnerabilidades antigas, ameaças novas: os casos mais impressionantes
Um dos aspectos mais perturbadores e ao mesmo tempo mais fascinantes dessa história toda é a descoberta de que sistemas amplamente utilizados carregam vulnerabilidades que existem há muito tempo sem nunca terem sido detectadas. Não estamos falando de código legado abandonado em algum servidor esquecido. Estamos falando de bibliotecas e componentes que fazem parte da espinha dorsal da internet moderna, softwares que passaram por auditorias, foram revisados por comunidades inteiras de desenvolvedores e ainda assim escondiam falhas que só um modelo de IA com capacidade de raciocínio avançado conseguiu enxergar.
O artigo original da Anthropic descreve três exemplos que ilustram bem a magnitude do que foi encontrado:
- OpenBSD, vulnerabilidade de 27 anos: O Mythos Preview encontrou uma falha no OpenBSD, um sistema operacional com reputação de ser um dos mais seguros do mundo, amplamente usado para rodar firewalls e infraestrutura crítica. A vulnerabilidade permitia que um atacante derrubasse remotamente qualquer máquina rodando o sistema apenas conectando-se a ela. Essa falha esteve ali por quase três décadas sem ser detectada.
- FFmpeg, vulnerabilidade de 16 anos: Também foi descoberta uma falha no FFmpeg, a biblioteca usada por inúmeros softwares para codificar e decodificar vídeo. A vulnerabilidade estava em uma linha de código que ferramentas de teste automatizado tinham executado cinco milhões de vezes sem jamais capturar o problema.
- Kernel Linux, escalonamento de privilégios: O modelo encontrou e encadeou de forma autônoma várias vulnerabilidades no kernel do Linux, o software que roda a maior parte dos servidores do mundo, permitindo que um atacante escalasse de acesso comum de usuário para controle total da máquina.
Todas essas vulnerabilidades já foram reportadas aos mantenedores dos respectivos softwares e já foram corrigidas. Para muitas outras falhas encontradas, a Anthropic está fornecendo hashes criptográficos dos detalhes hoje, com planos de revelar os dados completos assim que as correções estiverem disponíveis.
Isso coloca em perspectiva o quanto ainda há para descobrir e, consequentemente, o quanto ainda estamos expostos sem saber. Quando uma vulnerabilidade crítica é encontrada em uma biblioteca open source amplamente utilizada, o impacto pode se espalhar por milhares de produtos e serviços que dependem daquele componente. O caso do Log4Shell, descoberto em 2021, é talvez o exemplo mais conhecido dessa dinâmica: uma falha em uma biblioteca de logging usada em praticamente tudo, desde servidores corporativos até jogos, expôs uma quantidade enorme de sistemas ao redor do mundo. O Glasswing opera exatamente nessa camada de risco, tentando encontrar as próximas vulnerabilidades desse tipo antes que alguém mal-intencionado o faça.
O custo real dos ataques cibernéticos e por que a urgência é agora
Para dimensionar a importância de uma iniciativa como o Projeto Glasswing, vale olhar para os números e exemplos concretos do impacto dos ciberataques ao redor do mundo. Já presenciamos consequências graves de ataques contra redes corporativas, sistemas de saúde, infraestrutura de energia, centros de transporte e agências governamentais em diversos países. No cenário internacional, ataques patrocinados por estados comprometeram infraestruturas que sustentam tanto a vida civil quanto a prontidão militar.
Mesmo ataques de menor escala, como aqueles direcionados a hospitais individuais ou escolas, ainda causam danos econômicos substanciais, expõem dados sensíveis e podem colocar vidas em risco. As estimativas dos custos financeiros globais do cibercrime são desafiadoras de calcular, mas giram em torno de 500 bilhões de dólares por ano.
O que torna a abordagem do Projeto Glasswing especialmente relevante para o momento atual é que ela reconhece uma mudança de paradigma na forma como a cibersegurança precisa funcionar. O modelo tradicional é reativo: uma falha é descoberta, geralmente depois de um ataque, e então uma correção é desenvolvida e distribuída. O Glasswing propõe o oposto, uma postura proativa onde a IA vasculha continuamente os sistemas em busca de falhas antes que elas sejam exploradas. Isso não elimina todos os riscos, nada elimina, mas reduz drasticamente a janela de exposição e muda fundamentalmente a dinâmica entre atacantes e defensores. Em um cenário onde os ataques estão cada vez mais sofisticados e automatizados, ter uma defesa igualmente sofisticada e automatizada deixa de ser um diferencial e passa a ser uma necessidade básica. 🔍
O investimento e a estrutura por trás do projeto
O compromisso financeiro do Projeto Glasswing é expressivo. A Anthropic está comprometendo até 100 milhões de dólares em créditos de uso do Claude Mythos Preview para os parceiros e participantes adicionais. Além disso, a empresa fez doações diretas de 2,5 milhões de dólares para os projetos Alpha-Omega e OpenSSF através da Linux Foundation, e 1,5 milhão de dólares para a Apache Software Foundation, totalizando 4 milhões em doações diretas para organizações de segurança open source.
O acesso ao modelo foi estendido a um grupo de mais de 40 organizações adicionais que constroem ou mantêm infraestrutura de software crítico, permitindo que usem o modelo para escanear e proteger tanto sistemas próprios quanto open source. Após o período inicial de pesquisa coberto pelos créditos, o Claude Mythos Preview ficará disponível para os participantes a 25 dólares por milhão de tokens de entrada e 125 dólares por milhão de tokens de saída, com acesso disponível pela API do Claude, Amazon Bedrock, Vertex AI do Google Cloud e Microsoft Foundry.
O trabalho dos parceiros vai focar em tarefas como detecção local de vulnerabilidades, testes de caixa preta em binários, proteção de endpoints e testes de penetração em sistemas. Dentro de 90 dias, a Anthropic vai reportar publicamente o que foi aprendido, as vulnerabilidades corrigidas e as melhorias que podem ser divulgadas.
O projeto também pretende colaborar com organizações líderes em segurança para produzir recomendações práticas sobre como as práticas de segurança devem evoluir na era da IA, incluindo:
- Processos de divulgação de vulnerabilidades
- Processos de atualização de software
- Segurança de código aberto e de cadeia de suprimentos
- Ciclo de vida de desenvolvimento de software e práticas de segurança por design
- Padrões para indústrias regulamentadas
- Escalabilidade e automação de triagem
- Automação de patches
O que os parceiros do projeto estão dizendo
As reações dos parceiros reforçam a gravidade e a urgência do cenário. O CEO da Cisco foi direto ao afirmar que as capacidades de IA cruzaram um limiar que muda fundamentalmente a urgência necessária para proteger infraestrutura crítica, e que não há volta. A AWS destacou que suas equipes analisam mais de 400 trilhões de fluxos de rede por dia em busca de ameaças e que a IA é central para sua capacidade de defesa em escala.
Igor Tsyganskiy, VP Executivo de Cibersegurança e Microsoft Research, enfatizou que estamos entrando em uma fase onde a cibersegurança não está mais limitada pela capacidade puramente humana, e que a oportunidade de usar IA de forma responsável para melhorar a segurança em escala não tem precedentes. Quando testado contra o CTI-REALM, um benchmark de segurança open source da Microsoft, o Claude Mythos Preview mostrou melhorias substanciais em comparação com modelos anteriores.
Receba o melhor conteúdo de inovação em seu e-mail
Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.
Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.
George Kurtz, da CrowdStrike, trouxe uma observação que sintetiza bem o momento: a janela entre uma vulnerabilidade ser descoberta e ser explorada por um adversário colapsou, o que antes levava meses agora acontece em minutos com IA. A Linux Foundation complementou lembrando que mantenedores de código aberto, cujo software sustenta boa parte da infraestrutura crítica mundial, historicamente foram deixados para se virar sozinhos com segurança, e o Glasswing oferece um caminho para mudar essa equação.
A Palo Alto Networks alertou que os modelos precisam estar nas mãos de defensores e donos de código aberto em todos os lugares para encontrar e corrigir vulnerabilidades antes que atacantes tenham acesso, e que todos precisam se preparar para atacantes assistidos por IA. A Google reforçou seu compromisso com ferramentas como Big Sleep e CodeMender para encontrar e corrigir falhas críticas, disponibilizando o Mythos Preview aos participantes através do Vertex AI. 💬
Sobre disponibilidade e o futuro do modelo
Um ponto importante: a Anthropic não planeja disponibilizar o Claude Mythos Preview para o público geral. O modelo permanece restrito aos parceiros e participantes do projeto justamente por causa do potencial dual de suas capacidades. O objetivo eventual é permitir que modelos da classe Mythos sejam implantados em escala de forma segura, não apenas para cibersegurança, mas também para os diversos outros benefícios que modelos tão capazes podem trazer.
Para isso, a empresa precisa avançar no desenvolvimento de salvaguardas que detectem e bloqueiem as saídas mais perigosas do modelo. A Anthropic planeja lançar novas salvaguardas com um próximo modelo Claude Opus, permitindo aprimorá-las com um modelo que não apresenta o mesmo nível de risco do Mythos Preview. Além disso, a empresa tem mantido conversas contínuas com autoridades do governo dos Estados Unidos sobre as capacidades cibernéticas ofensivas e defensivas do modelo, reconhecendo que proteger infraestrutura crítica é uma prioridade de segurança nacional para países democráticos.
O papel da IA na nova era da segurança digital
O Projeto Glasswing é, na prática, um sinal claro de que a Inteligência Artificial está assumindo um papel central na forma como o mundo vai lidar com ameaças digitais daqui para frente. Não como uma ferramenta auxiliar, mas como um componente essencial e indispensável de qualquer estratégia séria de cibersegurança. Os modelos de IA modernos já demonstraram que conseguem superar especialistas humanos em tarefas específicas de análise técnica, e o campo da segurança digital é um dos mais promissores para essa aplicação justamente porque envolve um volume de dados e complexidade que está além da capacidade humana de processar manualmente em escala.
Dez anos depois do primeiro DARPA Cyber Grand Challenge, os modelos de IA de fronteira estão se tornando competitivos com os melhores humanos em encontrar e explorar vulnerabilidades. Sem as salvaguardas necessárias, essas poderosas capacidades cibernéticas poderiam ser usadas para explorar as muitas falhas existentes nos softwares mais importantes do mundo, tornando ciberataques de todos os tipos muito mais frequentes e destrutivos.
Isso não significa que os profissionais de segurança vão ser substituídos, pelo contrário. O que deve acontecer é uma redefinição de papéis, onde os especialistas humanos focam em decisões estratégicas, análise de contexto e gestão de risco, enquanto a IA lida com a parte pesada da análise técnica em escala. Empresas como CrowdStrike, Palo Alto Networks e Broadcom, que já atuam diretamente no mercado de segurança, participam do projeto justamente porque entendem que essa integração entre inteligência humana e artificial é o caminho natural, e quem não se adaptar a isso vai ficar para trás em um setor onde estar atualizado não é opcional.
O que o Glasswing representa, portanto, vai além de um projeto de segurança específico. Ele marca um momento em que a indústria de tecnologia assumiu coletivamente que a IA é poderosa demais para ser deixada sem direção, e que a melhor forma de garantir que ela trabalhe a favor da sociedade é construindo estruturas colaborativas, transparentes e responsáveis para guiar seu uso. O trabalho de defender a infraestrutura cibernética do mundo pode levar anos; as capacidades da IA de fronteira provavelmente avançarão substancialmente nos próximos meses. Para que os defensores saiam na frente, a ação precisa ser agora.
Em um campo tão crítico quanto a cibersegurança, onde as consequências de uma falha podem ir muito além de dados comprometidos e afetar infraestruturas físicas, sistemas financeiros e até vidas, essa postura coletiva não é apenas bem-vinda, ela é absolutamente necessária. A Anthropic convidou outros membros da indústria de IA a se juntarem ao esforço e, a médio prazo, sugeriu que um órgão independente de terceiros, capaz de reunir organizações dos setores público e privado, pode ser o lar ideal para a continuidade desses projetos de cibersegurança em larga escala. 🌐
