Em testes, a Mythos Preview criou 8 exploits de execução de código a partir de 18 correções do Firefox e 8 cadeias de escalação de privilégios no kernel do Windows, com o primeiro exploit saindo em apenas 31 minutos [... O custo de cada campanha de exploit caiu para menos de US$ 50 por sucesso, e varreduras completa...

Create a landscape editorial hero image for this Studio Global article: According to a March 2026 Axios report on Anthropic's Mythos Preview AI, what did the company's frontier red team find when they tested the. Article summary: **Note:** The Axios report in question was published **June 8, 2026**, not March 2026. The earlier Axios stories were in April (announcement) and March (Claude Opus bug-hunting). Below is the full breakdown based on the . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Anthropic has said Mythos Preview has found thousands of high-severity vulnerabilities, including some in every major operating system and web" source context "Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models | CSO Online" Reference image 2: visual subject "Anthropic has said
Em junho de 2026, a equipe de segurança "red team" da Anthropic revelou ao site Axios uma capacidade alarmante de seu modelo de IA restrito, o Claude Mythos Preview: ler correções de software divulgadas publicamente e, de forma autônoma, transformá-las em exploits funcionais em questão de minutos . O alvo do teste foram as vulnerabilidades N-day – falhas já corrigidas pelos fornecedores, mas que permanecem abertas na maioria das organizações. O resultado não apenas quebrou cronogramas conhecidos; ele os eliminou.
A equipe da Anthropic alimentou a Mythos com 18 correções de segurança recentes do Firefox e 21 correções do kernel do Windows – todas divulgadas após a data de corte do treinamento do modelo – e a instruiu a construir exploits. No Firefox, a Mythos criou de forma autônoma 8 exploits de execução de código totalmente funcionais, sem nenhuma intervenção humana. No kernel do Windows, onde o código-fonte não está disponível, ela gerou 8 cadeias completas de exploit que elevavam um usuário de baixo privilégio a controle total de SISTEMA (SYSTEM) .
A velocidade foi o maior choque: a Mythos produziu sua primeira prova de conceito para o Windows em 31 minutos e, ao todo, criou oito exploits distintos em aproximadamente 12 horas . Para colocar isso em perspectiva, a janela média de correção nas empresas, de acordo com relatório da CrowdStrike, era de aproximadamente 70 dias — um número que não mudava desde 2022. Enquanto isso, a Mythos comprimiu a criação de um ataque para menos de uma hora. Essa disparidade cria o que analistas chamam de "abismo de correção" estrutural: os defensores são fisicamente incapazes de instalar correções mais rápido do que uma IA pode gerar ataques
.
A implicação mais ampla é que a janela tradicional das N-days — as semanas ou meses que os times de segurança contavam entre a divulgação de uma correção e a disponibilidade de um exploit — efetivamente deixou de existir .
Em uma avaliação separada, a Mythos acionou 13 das 14 falhas do Windows que a Microsoft havia classificado como "improváveis de serem exploradas", e levou uma dessas falhas ao controle total do sistema . A classificação de "baixa explorabilidade" da Microsoft hoje cobre de 80% a 90% até mesmo das falhas de severidade crítica. Isso significa que o conjunto de vulnerabilidades que as equipes de segurança tratam como urgentes pode precisar se expandir em cerca de 5 vezes
. O sistema de classificação, projetado para um mundo onde o desenvolvimento de exploits levava semanas de trabalho humano especializado, agora subestima perigosamente a ameaça de uma IA autônoma que faz o mesmo trabalho em minutos.
Um dos números mais desconfortáveis das divulgações da Anthropic é o custo. Campanhas individuais de descoberta de uma vulnerabilidade desconhecida (zero-day) tiveram um custo inferior a US$ 50 por tentativa bem-sucedida. Uma campanha completa de varredura do sistema operacional OpenBSD – milhares de execuções – custou aproximadamente US$ 20.000 e descobriu várias vulnerabilidades críticas, incluindo uma falha de 27 anos na pilha TCP do sistema . Exploits para escalar privilégios no kernel Linux a partir de falhas N-day foram construídos por menos de US$ 2.000 cada
. O custo total da campanha do time de segurança da Anthropic ficou bem abaixo dos US$ 20.000 para varreduras completas de bases de código
.
Esses não são orçamentos de estado-nação. São orçamentos de um desenvolvedor independente ou de uma equipe pequena, o que significa que a barreira para a descoberta sofisticada de vulnerabilidades e o desenvolvimento de exploits despencou no exato momento em que as capacidades da IA explodiram .
A Anthropic revelou o Claude Mythos Preview entre 7 e 8 de abril de 2026, descrevendo um modelo de fronteira capaz de, autonomamente, descobrir e explorar vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores web, encontrando milhares de falhas de alta gravidade, incluindo erros que sobreviveram a décadas de revisão por especialistas . Devido ao risco extremo de uso duplo (defensivo e ofensivo), a Anthropic não liberou a Mythos publicamente. Em vez disso, criou o Projeto Glasswing, uma iniciativa controlada de cibersegurança inicialmente limitada a cerca de 50 organizações parceiras, incluindo AWS, Apple, Cisco, Google, Microsoft, JPMorgan e a Linux Foundation
.
Em junho de 2026, o Glasswing está se expandindo para aproximadamente 150 organizações em mais de 15 países, incluindo agências de segurança nacional da Austrália, Reino Unido e várias nações da União Europeia e da Ásia . Os parceiros recebem uma janela de exclusividade de 90 dias para correção antes que as descobertas sejam divulgadas publicamente
. Até o final de maio de 2026, a Mythos já havia encontrado mais de 10.000 vulnerabilidades de alta gravidade ou críticas em softwares de importância sistêmica global
.
A colaboração da Mozilla com a Anthropic, sozinha, resultou na descoberta e correção de 271 vulnerabilidades zero-day no Firefox 150 — o maior lote único de correções de segurança da história do navegador .
Resposta da indústria: A Cisco se juntou ao grupo inicial de parceiros do Glasswing, ganhando acesso antecipado à Mythos para a descoberta defensiva de vulnerabilidades em seus próprios softwares e em código aberto . A parceria interna da Mozilla com a Anthropic antecedeu o lançamento completo do Mythos, e os resultados — 271 falhas zero-day corrigidas — demonstraram o imenso potencial defensivo do uso responsável da ferramenta
.
Governo Trump: A resposta política foi turbulenta. Em abril de 2026, o Diretor Nacional de Cibersegurança, Sean Cairncross, liderou a comunicação com as agências, mas cortes de financiamento na CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) e batalhas políticas internas complicaram a coordenação . Em 21 de maio, Trump descartou uma ordem executiva planejada que exigiria que laboratórios de IA submetessem modelos de fronteira para revisão do governo 90 dias antes do lançamento público, dizendo a jornalistas que não queria nada que atrasasse a liderança americana sobre a China
.
Menos de duas semanas depois, em 3 de junho, Trump assinou uma ordem executiva revisada sobre inovação em IA e cibersegurança, que criou uma estrutura voluntária de revisão de 30 dias para novos modelos de fronteira — mais branda que o mandato rejeitado de 90 dias, mas ainda assim um reconhecimento de que o status quo era insuficiente .
Enquanto isso, agências como o Tesouro, o Federal Reserve (Banco Central dos EUA) e o Escritório de Gestão e Orçamento correram para garantir acesso à Mythos após os alertas de abril, com o Tesouro recebendo briefings de emergência apesar de uma diretiva anterior de Trump para cessar o uso da tecnologia da Anthropic .
Congresso: A OpenAI e a Anthropic realizaram briefings a portas fechadas com o comitê de Segurança Interna da Câmara dos Representantes sobre ameaças cibernéticas impulsionadas por IA, marcando uma das primeiras sessões dedicadas ao tema para assessores parlamentares .
A principal implicação é clara: a era em que o lançamento de uma correção dava aos defensores semanas de alívio acabou, pelo menos contra adversários com acesso a IAs de fronteira. A assimetria é brutal — as empresas ainda levam cerca de 70 dias para corrigir falhas, enquanto uma IA pode transformar essas mesmas falhas em armas em menos de uma hora. As organizações estão sendo forçadas a repensar quais vulnerabilidades são urgentes, como priorizam as correções e se seus processos de gerenciamento de vulnerabilidades conseguem sobreviver em um mundo onde o desenvolvimento de exploits se tornou barato, rápido e automatizado.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Em testes, a Mythos Preview criou 8 exploits de execução de código a partir de 18 correções do Firefox e 8 cadeias de escalação de privilégios no kernel do Windows, com o primeiro exploit saindo em apenas 31 minutos [...
Em testes, a Mythos Preview criou 8 exploits de execução de código a partir de 18 correções do Firefox e 8 cadeias de escalação de privilégios no kernel do Windows, com o primeiro exploit saindo em apenas 31 minutos [... O custo de cada campanha de exploit caiu para menos de US$ 50 por sucesso, e varreduras completas de sistemas como o OpenBSD custaram cerca de US$ 20.000 — um valor acessível até para desenvolvedores individuais [6][7...
A Mythos acionou 13 das 14 falhas do Windows que a Microsoft classificou como 'improváveis de serem exploradas', sugerindo que o número de vulnerabilidades tratadas como urgentes pode precisar quintuplicar [2][3].