IA Cruzou o Limiar Ofensivo: Por Dentro do Claude Mythos e o Fim da Caça a Bugs Dominada por Humanos

Em declarações a veículos como BBC e Moneycontrol, Palmiotti explicou que a tecnologia está evoluindo a um ritmo em que até mesmo o escalão máximo do talento humano pode se tornar não competitivo. Ela previu que competições de hacking com IA podem tornar eventos como a Pwn2Own obsoletos, porque a velocidade bruta, a escala e a autonomia de sistemas como o Mythos não podem ser igualadas por nenhum humano, não importa quão habilidoso seja .

É crucial notar que seu alerta não é que a IA substituirá instantaneamente todos os pesquisadores de segurança, mas que está cruzando um limiar de capacidade que muda a economia de quem — ou o quê — encontra as vulnerabilidades mais críticas primeiro. A trajetória, argumenta ela, aponta para as máquinas .

O Que o Claude Mythos Realmente Faz: Capacidades Além das Pontuações de Benchmark

O Claude Mythos Preview não é uma ferramenta estreita de cibersegurança. É um modelo de linguagem de propósito geral, o sucessor de última geração da Anthropic para sua linha Claude. Ele não foi especificamente treinado para ser um hacker. No entanto, quando suas capacidades foram avaliadas, os resultados chocaram até mesmo seus criadores .

Milhares de Descobertas de Dia Zero

A Anthropic confirmou que o Mythos Preview descobriu autonomamente milhares de vulnerabilidades de alta gravidade em todos os principais sistemas operacionais e todos os principais navegadores web. Isso inclui falhas previamente desconhecidas (dia zero) que nenhum pesquisador humano havia ainda descoberto . Um relatório descreveu o modelo produzindo 303 páginas de descobertas de vulnerabilidades em 21 minutos .

Desenvolvimento de Exploits Funcionais

Modelos de IA anteriores às vezes conseguiam encontrar vulnerabilidades, mas quase nunca construíam autonomamente um exploit funcional. Em um benchmark que envolvia transformar vulnerabilidades conhecidas do motor JavaScript do Firefox em exploits de shell funcionais, o Mythos Preview teve sucesso 181 vezes. O melhor modelo anterior da Anthropic, o Claude Opus 4.6, tinha uma taxa de sucesso próxima de zero . Isso não é uma melhoria incremental — representa a ultrapassagem de um limiar crítico .

Engenharia Reversa de Binários "Limpados"

O Mythos pode analisar software de código fechado ou compilado mesmo depois que as informações de depuração legíveis por humanos foram removidas. Ele examina o código bruto em nível de máquina, entende como o programa funciona e descobre vulnerabilidades que seriam opacas sem acesso ao código fonte .

Exploração Autônoma Sem Intervenção Humana Além de uma Única Instrução

Os pesquisadores usaram um arcabouço simples: conteinerizar o código-alvo, invocar o modelo com o Claude Code rodando o Mythos Preview e dar a ele um único parágrafo de instrução pedindo que encontrasse vulnerabilidades. O modelo então, de forma independente, identificou e escreveu exploits para brechas de segurança previamente desconhecidas . O Instituto de Segurança de IA do Reino Unido (AISI) avaliou de forma independente o Mythos e confirmou suas capacidades cibernéticas avançadas .

A Parte Inquietante: Essas Habilidades Surgiram por Acidente

A Anthropic foi explícita: as capacidades cibernéticas ofensivas do modelo não foram treinadas deliberadamente. Elas "surgiram como uma consequência secundária de melhorias gerais em código, raciocínio e autonomia" . As mesmas melhorias que tornam o modelo mais eficaz em corrigir vulnerabilidades também o tornam mais eficaz em explorá-las. Isso tem enormes implicações para a governança: se a capacidade ofensiva é uma propriedade emergente do poder geral de raciocínio, modelos futuros ainda mais capazes podem ser impossíveis de tornar seguros sem limitar fundamentalmente sua inteligência .

Por Que Apenas 50 Organizações? Por Dentro do Projeto Glasswing e a Intervenção Histórica do Governo

Quando a Anthropic lançou o Claude Mythos Preview em abril de 2026, fez algo que nenhum grande laboratório de IA havia feito antes: anunciou seu modelo mais poderoso e simultaneamente disse ao público que ele não pode usá-lo .

A empresa criou o Projeto Glasswing, um programa de acesso restrito que limita o Mythos Preview a aproximadamente 50 organizações cuidadosamente avaliadas. Isso inclui grandes empresas de tecnologia como Apple, Amazon Web Services, Microsoft, Google, Cisco, CrowdStrike, Broadcom, Palo Alto Networks e Nvidia, bem como operadores de infraestrutura crítica como o JPMorgan Chase. Entidades do governo dos EUA, incluindo a Agência de Segurança Nacional (NSA), também receberam acesso . O objetivo é fortalecer o software mais crítico do mundo primeiro, dando aos defensores uma vantagem inicial antes que uma IA ofensiva semelhante — ou mais capaz — inevitavelmente se prolifere .

O raciocínio da Anthropic é direto: o modelo é simplesmente perigoso demais para um lançamento amplo. A empresa reconheceu que o Mythos está "atualmente muito à frente de qualquer outro modelo de IA em capacidades cibernéticas" e que "prenuncia uma onda iminente de modelos que podem explorar vulnerabilidades de maneiras que superam em muito os esforços dos defensores" . Em mãos erradas, poderia orquestrar ataques cibernéticos coordenados a redes elétricas, hospitais e sistemas financeiros .

A Casa Branca Entra em Cena

A situação escalou quando a Anthropic propôs expandir o acesso de cerca de 50 organizações para 120. A Casa Branca bloqueou essa expansão — a primeira instância conhecida em que o governo dos EUA restringe a distribuição comercial de um modelo de IA com base em considerações políticas, em vez de uma lei ou regulamentação específica . As autoridades citaram temores de que o modelo pudesse cair em mãos adversárias e preocupações sobre se a Anthropic teria poder computacional suficiente para atender a um conjunto ampliado de usuários sem degradar o serviço para parceiros federais críticos .

Enquanto isso, o Pentágono anunciou parcerias de IA em rede classificada com oito empresas — OpenAI, Google, Microsoft, AWS, Nvidia, SpaceX, Oracle e xAI — e excluiu deliberadamente a Anthropic da lista, sinalizando tensões crescentes entre a empresa e o establishment de defesa dos EUA .

Por enquanto, o Mythos permanece a portas fechadas. Os três megabancos do Japão obtiveram acesso em maio de 2026, tornando o país um dos primeiros fora dos EUA a usar o modelo de forma defensiva .

O Pesquisador de Vulnerabilidades Humano: Em Extinção ou Evolução?

A chegada do Claude Mythos acendeu um debate filosófico urgente na cibersegurança. Os pesquisadores de vulnerabilidades humanos têm um futuro viável, ou estamos testemunhando o começo do fim?

O Caso a Favor dos Humanos: Por Que a Expertise Ainda Importa

1. A IA aumenta, não substitui — ainda. A própria Palmiotti usa o Claude Code para aumentar sua eficiência, mas depende da habilidade humana para contexto e raciocínio criativo. Muitos pesquisadores argumentam que a expertise humana permanece crítica para a estratégia de alto nível, a compreensão do propósito e da lógica de negócio de um sistema, e o raciocínio criativo para encadear ataques que os modelos ainda não conseguem replicar .

2. Os controles de acesso preservam os papéis humanos — por ora. O Mythos está bloqueado para aproximadamente 50 organizações. A esmagadora maioria dos programas de bug bounty, testes de intrusão e avaliações de vulnerabilidade ainda é realizada por pesquisadores humanos usando ferramentas muito menos capazes. Isso muda a fronteira tecnológica, mas não dissolve a massiva indústria existente .

3. Domínios novos e capacidade de julgamento. Os humanos mantêm vantagens na detecção de falhas de lógica de negócio, na condução de avaliações nuançadas de engenharia social e no fornecimento de julgamento contextual baseado em risco que os modelos de IA atuais podem ignorar ou interpretar mal. A IA pode encontrar um estouro de buffer tecnicamente explorável; um pesquisador humano pode dizer se esse estouro realmente importa no contexto do negócio .

O Caso pela Obsolescência: Por Que Velocidade e Escala Estão Vencendo

1. Velocidade e escala brutas estão além do alcance humano. O Mythos pode ingerir bases de código inteiras, encontrar vulnerabilidades e escrever exploits em minutos — um trabalho que poderia ocupar uma equipe humana qualificada por semanas ou meses. Uma publicação o descreveu como "uma IA que pode invadir quase qualquer computador da Terra" após encontrar milhares de vulnerabilidades desconhecidas em todos os principais sistemas operacionais simultaneamente .

2. Competições de elite estão se tornando vitrines de IA. A previsão de Palmiotti de que competições de hacking como a Pwn2Own podem se tornar obsoletas não é apenas uma sensação — é uma observação estrutural. Se um único modelo pode encontrar e encadear vulnerabilidades que, de outra forma, exigiriam múltiplas equipes de elite, a economia da descoberta de vulnerabilidades muda fundamentalmente .

3. As vantagens de custo e eficiência são esmagadoras. Um único sistema de IA pode escanear milhões de linhas de código, conectar pequenas vulnerabilidades em cadeias de exploits críticas e operar em uma escala que nenhum humano pode sustentar. Isso muda fundamentalmente o que é possível na descoberta de vulnerabilidades — não porque os humanos são ineficazes, mas porque não podem competir em volume .

É improvável que o debate se resolva de forma limpa. Mais provavelmente, o futuro imediato se bifurcará: um círculo interno de defensores aumentados por IA usando ferramentas como o Mythos sob rigoroso acesso governamental e corporativo, e um vasto círculo externo onde a maioria do trabalho de segurança permanece teimosamente manual e humano. A distância entre esses dois círculos está diminuindo rapidamente.