Mythos: o que testes independentes dizem sobre a nova IA de cibersegurança da Anthropic

Isso sugere que modelos de IA já podem acelerar etapas importantes do trabalho de pesquisadores de segurança — tanto defensivos quanto ofensivos.

Onde a IA ainda falha

Apesar desses avanços, as evidências públicas indicam que o Mythos funciona melhor como assistente poderoso, não como um analista de segurança completo.

Avaliações independentes indicam que o modelo ainda tem limitações importantes, especialmente em tarefas como:

• avaliar a gravidade real de uma falha
• priorizar correções em sistemas complexos
• confirmar se um exploit funciona de forma confiável no mundo real .

Outro problema prático é o chamado “overload de triagem”. Um sistema que encontra vulnerabilidades muito rapidamente pode gerar centenas ou milhares de suspeitas — e equipes humanas ainda precisam verificar quais são reais e quais são falsos positivos.

Além disso, algumas alegações mais impressionantes — como a descoberta de milhares de falhas críticas — vêm principalmente de materiais ligados à própria empresa ou a relatórios de menor confiabilidade, o que significa que ainda precisam de validação independente mais ampla .

Mythos vs. GPT‑5.5: a vantagem pode ser menor do que parece

Os testes do AISI também indicam que o Mythos não está sozinho nesse nível de capacidade.

Em avaliações posteriores conduzidas pelo instituto, o GPT‑5.5 foi classificado como um dos modelos mais fortes já testados em tarefas cibernéticas e alcançou um desempenho semelhante ao Mythos em alguns cenários .

Por exemplo, nas simulações de ataques corporativos complexos usadas nos testes:

• o Mythos completou o exercício integralmente 3 vezes em 10 tentativas
• o GPT‑5.5 conseguiu fazê‑lo 2 vezes em 10 .

Isso sugere que múltiplos modelos estão alcançando capacidades comparáveis em cibersegurança assistida por IA, especialmente quando usados com ferramentas e agentes especializados.

Algumas análises também apontam que benchmarks focados em vulnerabilidades históricas ou ambientes controlados podem mostrar que modelos menores ou mais baratos recuperam parte dessas capacidades, dependendo da configuração do sistema .

Por isso, o diferencial competitivo pode depender menos do modelo isolado e mais do ecossistema de ferramentas, automação e integração com fluxos de segurança.

Limitações dos próprios testes

Mesmo avaliações respeitadas como as do AISI não representam perfeitamente o mundo real.

Os testes usam ambientes controlados, com características como:

• redes simuladas
• vulnerabilidades conhecidas ou congeladas
• sistemas sem o ruído e a complexidade de ambientes reais

Na prática, operações de segurança envolvem fatores difíceis de reproduzir em laboratório, como logs incompletos, acesso limitado a sistemas, dependências entre serviços e impactos de correções em produção .

Por isso, o desempenho em benchmarks pode superestimar a confiabilidade real do modelo em operações reais.

Por que governos e bancos estão correndo atrás dessa tecnologia

Mesmo com incertezas, governos e grandes instituições financeiras já estão tentando obter acesso a modelos como o Mythos.

Relatos indicam que:

• bancos europeus estão buscando testar o modelo para defesa cibernética
• os três maiores bancos do Japão devem receber acesso ao sistema
• o governo japonês criou uma força‑tarefa para avaliar riscos de ataques cibernéticos ligados à IA após o lançamento do modelo .

A lógica é simples: se sistemas de IA conseguem encontrar vulnerabilidades com rapidez crescente, defensores precisam da mesma tecnologia para corrigir falhas antes que atacantes as explorem.

Uma corrida tecnológica na segurança digital

O próprio AI Security Institute observa que a complexidade das tarefas de cibersegurança que modelos conseguem executar autonomamente tem dobrado em poucos meses em suas avaliações .

Autoridades britânicas de segurança cibernética também alertam que sistemas de IA avançados já ajudam em etapas específicas de operações ofensivas — como encontrar falhas zero‑day ou resolver desafios criptográficos .

Isso cria uma dinâmica de corrida armamentista tecnológica: a mesma IA que ajuda a defender sistemas também pode reduzir o custo e aumentar a escala de ataques.

O quadro geral

O consenso emergente é que o Mythos representa um assistente extremamente poderoso para pesquisa de vulnerabilidades, mas ainda não um defensor autônomo confiável.

As grandes questões em aberto incluem:

• taxas reais de falsos positivos
• exploitabilidade fora de ambientes controlados
• repetibilidade dos resultados em testes independentes
• e se modelos rivais podem atingir capacidades semelhantes com menor custo.

Por enquanto, a melhor descrição pode ser esta: uma ferramenta de alto impacto — e de duplo uso — que amplia drasticamente o alcance tanto de defensores quanto de atacantes.