Projeto Glasswing: a maior coalizão de cibersegurança com IA já criada reúne gigantes da tecnologia

Segurança cibernética nunca foi um assunto simples, mas o que está acontecendo agora muda o jogo de um jeito que poucos esperavam.

A Anthropic acaba de anunciar o Projeto Glasswing, uma iniciativa que reúne alguns dos maiores nomes da tecnologia mundial — AWS, Apple, Cisco, Google, Microsoft, NVIDIA, CrowdStrike, JPMorganChase, Broadcom, Palo Alto Networks e a Linux Foundation — em torno de um objetivo comum: usar inteligência artificial para proteger o software crítico que mantém o mundo funcionando.

O gatilho para tudo isso foi um modelo ainda não lançado chamado Claude Mythos Preview, e o que ele é capaz de fazer com vulnerabilidades de software é, no mínimo, impressionante — e ao mesmo tempo preocupante. 🔍

Estamos falando de uma IA que encontrou falhas com décadas de existência em sistemas que milhões de pessoas usam todos os dias, de forma autônoma, sem nenhuma orientação humana durante o processo.

A pergunta que fica no ar é: se uma IA consegue encontrar essas brechas antes dos atacantes, o que acontece quando essa mesma tecnologia cair em mãos erradas?

É exatamente esse equilíbrio delicado entre oportunidade defensiva e risco real que o Projeto Glasswing tenta enfrentar — e entender como isso funciona na prática é o que você vai encontrar nos próximos parágrafos. 👇

O que o Claude Mythos Preview encontrou — e por que isso assustou todo mundo

Antes de entrar nos detalhes do Projeto Glasswing em si, vale a pena entender o que motivou sua criação com tanta urgência. O Claude Mythos Preview é um modelo de fronteira de propósito geral que foi colocado para analisar bases de código amplamente utilizadas no mundo inteiro, e os resultados foram além do que os próprios engenheiros da Anthropic esperavam. O modelo identificou milhares de vulnerabilidades zero-day de alta severidade de forma completamente autônoma — sem receber dicas, sem ter um humano apontando onde procurar, sem nenhum tipo de orientação durante a execução da tarefa. Ele simplesmente leu o código, compreendeu a estrutura lógica por trás dele e encontrou as brechas sozinho.

O mais perturbador não foi só a capacidade de encontrar essas falhas, mas sim a natureza delas. Algumas dessas vulnerabilidades existiam há anos — em certos casos, décadas — dentro de sistemas que fazem parte da infraestrutura digital usada por bancos, hospitais, governos e empresas de todos os tamanhos. As falhas foram encontradas em todos os principais sistemas operacionais e todos os principais navegadores web, além de uma série de outros softwares amplamente utilizados. Não eram bugs obscuros escondidos em projetos irrelevantes. Eram problemas reais, em software crítico, que simplesmente nunca tinham sido descobertos porque a escala e a profundidade de análise necessária para encontrá-los estava além da capacidade humana convencional dentro de um prazo razoável.

Para ilustrar a gravidade das descobertas, vale destacar três exemplos concretos compartilhados pela Anthropic:

• Uma vulnerabilidade de 27 anos no OpenBSD — um sistema operacional conhecido por ser um dos mais seguros do planeta, usado em firewalls e infraestruturas críticas. A falha permitia que um atacante travasse remotamente qualquer máquina rodando o sistema simplesmente conectando-se a ela.
• Uma falha de 16 anos no FFmpeg — a biblioteca usada por inúmeros softwares para codificar e decodificar vídeo. O bug estava numa linha de código que ferramentas de teste automatizado haviam executado cinco milhões de vezes sem jamais detectar o problema.
• Múltiplas vulnerabilidades encadeadas no kernel do Linux — o software que roda na maior parte dos servidores do mundo. O modelo encontrou e conectou várias falhas de forma autônoma para demonstrar como um atacante poderia escalar de um acesso comum de usuário até o controle total da máquina.

Todas essas vulnerabilidades já foram reportadas aos mantenedores dos respectivos softwares e corrigidas. Para muitas outras descobertas, a Anthropic está publicando hashes criptográficos dos detalhes em seu blog de Red Team, com a revelação completa prevista para depois que as correções estejam implementadas.

• E-BOOK GRATUITO

Como Implementar as Melhores Ferramentas de IA

Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.

Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.

Baixar o Guia Completo (Grátis)

Entrega em PDF no seu e-mail · Sem spam · LGPD

Nome completo *

E-mail profissional *

Tamanho da Empresa *

Selecione…Empreendedor IndividualMicroempresaPequeno PorteMédio PorteEnterprise

Função *

Selecione…Gestor MarketingGestor VendasC-LevelSócio-ProprietárioAnalistaOutro

Segmento da Empresa *

Selecione…Construção Civil & ImóveisE-CommerceSoftware & InternetPalestras & ConteúdoAgência [Publicidade, Marketing, Tráfego, Comunicação]Outro

Fazer download

🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.

Isso levanta uma questão que vai direto ao ponto: se o Claude Mythos Preview conseguiu fazer isso num ambiente controlado, com intenções claras de pesquisa defensiva, o que impede que uma ferramenta com capacidades similares seja usada de forma ofensiva? A resposta honesta é: muito pouco, se nada for feito. E foi exatamente essa consciência que empurrou a Anthropic a agir rapidamente, transformando uma descoberta técnica interna numa iniciativa global de segurança cibernética. 🛡️

O Projeto Glasswing na prática: como uma coalizão de gigantes funciona

O Projeto Glasswing não é apenas um comunicado corporativo bonito cheio de logos de grandes empresas. A proposta central é concreta: utilizar inteligência artificial de forma coordenada para fazer auditorias profundas em software crítico de código aberto e em infraestruturas digitais amplamente usadas, identificando vulnerabilidades antes que agentes maliciosos o façam. A ideia é criar uma espécie de escudo coletivo, onde cada organização participante contribui com recursos, conhecimento e acesso a sistemas para que a IA possa trabalhar em escala global.

A participação de nomes como AWS, Google, Microsoft e Apple não é apenas simbólica. Essas empresas controlam partes enormes da infraestrutura digital mundial — desde serviços de nuvem até sistemas operacionais, passando por plataformas de desenvolvimento e redes corporativas. Tê-las dentro do mesmo projeto significa que o Glasswing tem acesso a uma visão abrangente de onde estão os pontos mais frágeis do ecossistema tecnológico global. A presença da Linux Foundation, por sua vez, é especialmente relevante porque grande parte do software crítico que roda o mundo — de servidores a dispositivos embarcados — é baseado em Linux e em projetos de código aberto que historicamente enfrentam desafios de manutenção e revisão de segurança devido ao volume e complexidade do código.

Além dos parceiros de lançamento, a Anthropic estendeu o acesso ao Claude Mythos Preview a um grupo de mais de 40 organizações adicionais que constroem ou mantêm infraestrutura de software crítica, para que possam usar o modelo para escanear e proteger tanto sistemas próprios quanto de código aberto.

Investimento financeiro e compromisso de longo prazo

Em termos de investimento, a Anthropic está colocando dinheiro real na mesa. A empresa comprometeu até 100 milhões de dólares em créditos de uso do Claude Mythos Preview para os participantes do Glasswing. Além disso, destinou 2,5 milhões de dólares para Alpha-Omega e OpenSSF por meio da Linux Foundation, e 1,5 milhão de dólares para a Apache Software Foundation, com o objetivo de ajudar os mantenedores de software de código aberto a responder a esse cenário em transformação. A empresa também fez 4 milhões de dólares em doações diretas para organizações de segurança de código aberto.

Após o período coberto pelos créditos de pesquisa, o Claude Mythos Preview ficará disponível para os participantes a 25 dólares por milhão de tokens de entrada e 125 dólares por milhão de tokens de saída, com acesso via Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry.

Além da identificação de falhas, o projeto prevê um processo estruturado de divulgação responsável, o que é fundamental nesse contexto. Encontrar uma vulnerabilidade crítica e simplesmente publicar isso sem dar tempo para os mantenedores do software corrigirem o problema seria irresponsável — e potencialmente catastrófico. O Glasswing estabelece protocolos para que as descobertas feitas pela IA sejam comunicadas de forma coordenada às equipes responsáveis, garantindo que as correções cheguem aos usuários antes que as informações sobre as falhas se tornem públicas. Isso é o que diferencia uma iniciativa séria de segurança cibernética de uma simples demonstração de capacidade tecnológica. 🔒

O que os parceiros estão dizendo — e fazendo

Uma das partes mais interessantes desse anúncio é que vários parceiros já tiveram acesso ao Claude Mythos Preview por algumas semanas antes da divulgação pública, e os relatos deles reforçam a gravidade do momento.

A Cisco afirmou que as capacidades de IA cruzaram um limiar que muda fundamentalmente a urgência necessária para proteger infraestrutura crítica, e que os velhos métodos de fortalecimento de sistemas não são mais suficientes. A AWS destacou que seus times já estão usando o modelo em bases de código críticas e que ele está ajudando a fortalecer o código da empresa. A Microsoft testou o Mythos Preview contra seu benchmark de segurança CTI-REALM e relatou melhorias substanciais em relação a modelos anteriores.

A CrowdStrike trouxe uma perspectiva particularmente direta: o intervalo entre uma vulnerabilidade ser descoberta e ser explorada por um adversário colapsou — o que antes levava meses agora acontece em minutos com IA. A Palo Alto Networks reforçou que esses modelos precisam estar nas mãos de mantenedores de código aberto e defensores em todos os lugares, antes que atacantes obtenham acesso a capacidades equivalentes.

A JPMorganChase enfatizou que promover a segurança cibernética e a resiliência do sistema financeiro é central para sua missão, e que o Glasswing oferece uma oportunidade única de avaliar ferramentas de IA de próxima geração para cibersegurança defensiva. O Google, por sua vez, destacou seus próprios investimentos em ferramentas de IA para segurança — como Big Sleep e CodeMender — e se comprometeu a disponibilizar o Mythos Preview aos participantes via Vertex AI.

A Linux Foundation trouxe um ponto crucial: historicamente, a expertise em segurança foi um luxo reservado a organizações com grandes equipes especializadas, enquanto os mantenedores de código aberto — cujo software sustenta a maior parte da infraestrutura crítica mundial — foram deixados para descobrir segurança por conta própria. O Glasswing oferece um caminho real para mudar essa equação. 💡

Inteligência artificial como ferramenta de defesa: oportunidade real ou aposta arriscada?

Usar inteligência artificial para resolver problemas de segurança cibernética não é uma ideia nova. Ferramentas baseadas em machine learning já são usadas há anos para detectar comportamentos anômalos em redes, identificar tentativas de phishing e analisar padrões de tráfego suspeito. O que o Projeto Glasswing traz de diferente é a escala e a profundidade da análise — estamos falando de um modelo capaz de entender contexto lógico complexo dentro de bases de código extensas, não apenas de reconhecer padrões superficiais. Isso é um salto qualitativo enorme, e ele abre portas que antes estavam fechadas para a defesa digital.

Os resultados de benchmark do Claude Mythos Preview reforçam essa diferença. O modelo alcançou as maiores pontuações já registradas em diversas tarefas de codificação de software, incluindo SWE-bench Verified, SWE-bench Pro, SWE-bench Multilingual e Terminal-Bench 2.0. No CyberGym, um benchmark focado especificamente em reprodução de vulnerabilidades de segurança cibernética, a diferença entre o Mythos Preview e o modelo anterior da Anthropic, o Claude Opus 4.6, foi substancial.

Por outro lado, é impossível ignorar o paradoxo que esse avanço cria. A mesma capacidade que torna o Claude Mythos Preview valioso para a defesa é o que o torna potencialmente perigoso nas mãos erradas. Uma IA capaz de encontrar vulnerabilidades em software crítico de forma autônoma é, por definição, uma ferramenta de ataque extremamente poderosa se seu uso não for controlado. Esse é o tipo de tecnologia que especialistas em segurança chamam de dual-use — ela serve igualmente bem para proteger e para atacar, dependendo de quem está no controle. E a Anthropic sabe disso muito bem, o que explica a urgência na criação de uma coalizão defensiva antes mesmo de o modelo ser lançado publicamente.

Justamente por isso, a Anthropic não planeja tornar o Claude Mythos Preview disponível ao público geral. O objetivo eventual é permitir que usuários utilizem modelos de classe Mythos com segurança e em escala — tanto para cibersegurança quanto para outros benefícios — mas somente após avanços no desenvolvimento de salvaguardas que detectem e bloqueiem as saídas mais perigosas do modelo. A empresa planeja lançar essas novas proteções primeiro com um próximo modelo Claude Opus, permitindo refiná-las com um modelo que não apresente o mesmo nível de risco que o Mythos Preview.

O que o Glasswing tenta fazer, em essência, é garantir que a corrida não seja vencida pelos atacantes. Em segurança cibernética, existe um princípio bem estabelecido: os defensores precisam estar certos o tempo todo, enquanto os atacantes precisam ter sucesso apenas uma vez. A inteligência artificial tem o potencial de reequilibrar essa equação — mas só se for implantada de forma coordenada, com processos claros e com a participação de quem realmente controla os sistemas mais críticos. É exatamente esse o raciocínio por trás da escolha dos parceiros do projeto, e é o que torna essa iniciativa diferente de anúncios anteriores que ficaram mais no papel do que na prática. 🤝

Os próximos passos: o que esperar do Projeto Glasswing

O anúncio de hoje é apenas o começo de um esforço de longo prazo. A Anthropic deixou claro que o trabalho vai se expandir em escopo e continuar por muitos meses. Os parceiros do projeto irão compartilhar informações e boas práticas entre si, e dentro de 90 dias a Anthropic publicará um relatório público sobre o que foi aprendido, as vulnerabilidades corrigidas e as melhorias que podem ser divulgadas.

O trabalho dos parceiros deve focar em tarefas como detecção local de vulnerabilidades, testes de caixa-preta em binários, segurança de endpoints e testes de penetração em sistemas. A Anthropic também planeja colaborar com organizações líderes em segurança para produzir um conjunto de recomendações práticas sobre como as práticas de segurança devem evoluir na era da IA, potencialmente cobrindo áreas como:

• Processos de divulgação de vulnerabilidades
• Processos de atualização de software
• Segurança de código aberto e cadeia de suprimentos
• Ciclo de vida de desenvolvimento de software e práticas de design seguro
• Padrões para indústrias regulamentadas
• Escalonamento e automação de triagem
• Automação de aplicação de patches

A empresa também confirmou que está em discussões contínuas com autoridades do governo dos Estados Unidos sobre as capacidades ofensivas e defensivas do Claude Mythos Preview. A proteção de infraestrutura crítica é uma prioridade de segurança nacional para países democráticos, e a emergência dessas capacidades cibernéticas é mais um motivo pelo qual os EUA e seus aliados precisam manter uma vantagem decisiva em tecnologia de IA.

O contexto maior: por que a urgência faz sentido

Para entender por que tantas organizações estão se movendo tão rápido, é útil olhar para o cenário de segurança cibernética que já existia antes do Glasswing. Os custos financeiros globais do cibercrime são difíceis de estimar com precisão, mas podem estar na faixa de 500 bilhões de dólares por ano. Ataques a redes corporativas, sistemas de saúde, infraestrutura de energia, centros de transporte e agências governamentais já demonstraram consequências graves em diversas ocasiões.

No cenário geopolítico, ataques patrocinados por estados como China, Irã, Coreia do Norte e Rússia ameaçam comprometer a infraestrutura que sustenta tanto a vida civil quanto a prontidão militar. Mesmo ataques menores — contra hospitais individuais ou escolas — podem causar danos econômicos substanciais, expor dados sensíveis e colocar vidas em risco.

Historicamente, encontrar e explorar vulnerabilidades em software exigia um nível de expertise que poucos profissionais possuíam. Com os modelos de IA de fronteira mais recentes, o custo, o esforço e o nível de conhecimento necessários para realizar esse tipo de trabalho caíram de forma dramática. Dez anos depois do primeiro DARPA Cyber Grand Challenge, os modelos de IA de fronteira estão se tornando competitivos com os melhores humanos em encontrar e explorar vulnerabilidades. O ritmo de progresso sugere que essas capacidades vão se proliferar rapidamente — potencialmente para além de atores comprometidos com o uso responsável.

O que isso significa para quem usa tecnologia no dia a dia

Para a maioria das pessoas, toda essa discussão sobre vulnerabilidades, modelos de IA e coalizões corporativas pode parecer distante da realidade cotidiana. Mas o impacto é muito mais próximo do que parece. O software crítico que o Glasswing pretende proteger inclui sistemas que processam transações bancárias, gerenciam registros médicos, controlam infraestruturas de energia e comunicação, mantêm redes de logística funcionando e formam a base de praticamente todos os serviços digitais que usamos diariamente. Uma falha não corrigida nesses sistemas não afeta apenas empresas — afeta pessoas físicas, dados pessoais, dinheiro e, em casos extremos, a segurança pública.

Além disso, o ritmo com que novas vulnerabilidades são descobertas e exploradas tem aumentado consistentemente nos últimos anos. As equipes de segurança humanas, por mais competentes que sejam, simplesmente não conseguem acompanhar o volume e a complexidade do código que precisa ser auditado. É aqui que a inteligência artificial entra não como substituta dos especialistas humanos, mas como um multiplicador de capacidade — permitindo que equipes menores façam análises que antes exigiriam centenas de pessoas e meses de trabalho. O Glasswing é, nesse sentido, uma aposta de que a tecnologia que criou parte do problema também pode ser a solução mais eficaz para ele.

O Projeto Glasswing também visa inspirar um esforço ainda maior. A Anthropic convida outros membros da indústria de IA a se juntarem ao trabalho de estabelecer padrões para o setor. No médio prazo, a empresa sugere que um órgão independente de terceiros — capaz de reunir organizações dos setores público e privado — pode ser o lar ideal para a continuidade desses projetos de cibersegurança em larga escala.

O anúncio do Projeto Glasswing marca um momento em que a indústria de tecnologia parece estar levando a sério a responsabilidade coletiva pela segurança cibernética global. Se essa coalizão vai se traduzir em resultados concretos nos próximos meses e anos, só o tempo dirá — mas o fato de que empresas normalmente concorrentes estão sentando à mesma mesa para enfrentar esse desafio já diz muito sobre a gravidade do que está em jogo. 🌐