Modelo Mythos identificou vulnerabilidades em sistemas operacionais, navegadores e servidores de forma autônoma; acesso será restrito a parceiros do setor via Projeto Glasswing
A Anthropic criou uma inteligência artificial inovadora, chamada Mythos, que é capaz de detectar e explorar vulnerabilidades de dia zero de forma autônoma em diversos sistemas operacionais e navegadores.
O modelo não será disponibilizado ao público em geral. Em vez disso, a Anthropic está implementando o Projeto Glasswing, um programa restrito que visa capacitar defensores da segurança antes que adversários possam desenvolver habilidades semelhantes.
Modelo gera exploits funcionais em mais de 70% das tentativas
A diferença de desempenho do Mythos em comparação com outros modelos da Anthropic é significativa. Em testes, o Mythos atingiu 83,1% de eficácia no benchmark CyberGym, que avalia a habilidade de reproduzir vulnerabilidades de segurança conhecidas, enquanto o Claude Opus 4.6 obteve 66,6%. Na geração de código de exploração funcional, o Mythos alcançou 72,4%, enquanto o Opus 4.6 ficou próximo de zero.
A vantagem do modelo também se estende a outras áreas. No benchmark SWE-bench Verified, ele obteve a pontuação de 93,9%, em contraste com os 80,8% do Opus 4.6. Na versão mais difícil, o SWE-bench Pro, a diferença foi ainda mais acentuada: 77,8% contra 53,4%.
Bug de 27 anos no OpenBSD
A Anthropic divulgou recentemente detalhes sobre algumas vulnerabilidades que o Mythos identificou de forma autônoma. Um exemplo notável é uma falha de segurança no OpenBSD, um dos sistemas operacionais mais confiáveis em termos de segurança, que estava presente há 27 anos. Essa vulnerabilidade permitia que um invasor derrubasse remotamente qualquer máquina rodando o sistema com apenas uma conexão.
Além disso, o Mythos detectou uma falha com 16 anos no FFmpeg, utilizada extensivamente na codificação de vídeo, que passou despercebida por ferramentas de teste automatizadas, mesmo após cinco milhões de execuções. O modelo também foi capaz de encadear múltiplas falhas no kernel Linux para que um atacante pudesse obter controle total da máquina.
Engenheiros sem treinamento em segurança receberam exploits prontos
Um dos relatos mais impressionantes descreve engenheiros da Anthropic, que não tinham formação em segurança, pedindo ao Mythos que buscasse vulnerabilidades de execução remota de código durante a noite. Na manhã seguinte, o modelo havia gerado exploits completos e funcionais.
Os ataques criados pelo Mythos vão além de técnicas simples. Em um dos casos, ele conseguiu encadear quatro vulnerabilidades para criar um ataque complexo, escapando de diversas barreiras de segurança. O modelo também gerou um exploit que permitiu acesso root a usuários não autenticados no servidor NFS do FreeBSD, através de uma cadeia ROP que envolveu 20 gadgets.
Projeto Glasswing reúne gigantes de tecnologia e finanças
A Anthropic optou por não lançar o Mythos ao público, argumentando que suas capacidades, se mal utilizadas, poderiam representar um risco significativo. Por outro lado, as mesmas habilidades são valiosas para encontrar e corrigir falhas críticas, princípio central do Projeto Glasswing.
Entre os parceiros do projeto estão gigantes como Amazon Web Services, Apple, Google, e Microsoft, além de outras 40 organizações que atuam em infraestrutura de software essencial. As atividades previstas incluem detecção de vulnerabilidades, testes de segurança e análise de penetrabilidade.
US$ 100 milhões destinados e negociações com o governo dos EUA
A Anthropic comprometeu até US$ 100 milhões em créditos para o uso do Mythos por meio do Projeto Glasswing. O foco da empresa em software de código aberto decorre do fato de que esse tipo de software forma a base da maioria dos sistemas modernos.
A empresa também está em discussões com autoridades do governo dos EUA sobre as capacidades do Mythos, tratando a situação como uma prioridade de segurança nacional. A Anthropic considera essencial manter uma posição de liderança em inteligência artificial para mitigar riscos associados a esses modelos.
O plano a longo prazo envolve o desenvolvimento de salvaguardas para implantar modelos dessa natureza com segurança, sendo que essas medidas serão inicialmente testadas em um próximo modelo Claude Opus. Profissionais da segurança que necessitem de acesso poderão solicitar por meio de um programa de verificação que será lançado separadamente. Em até 90 dias, a empresa promete publicar um relatório sobre os resultados do projeto.
Acompanhe o TecMania nas redes sociais e fique por dentro das últimas novidades sobre segurança e tecnologia.