Anthropic Rompe Monopólio Tecnológico: ENISA Terá Acesso ao Supercaçador de Vulnerabilidades IA

Ao longo de maio, a situação escalou. Funcionários da Comissão Europeia viajaram para São Francisco para solicitar acesso diretamente aos executivos da Anthropic . O ministro da Economia da Espanha declarou publicamente que o progresso havia sido “limitado”, e as negociações da UE com a Anthropic para acesso de instituições financeiras estavam, efetivamente, estagnadas . No final de maio, veículos de imprensa classificaram a falta de acesso da UE como uma “lacuna tecnológica e institucional nas capacidades de cibersegurança”, observando que, enquanto o Banco da Inglaterra, o Federal Reserve e o Tesouro dos EUA haviam sido informados, nenhuma instituição da UE tinha acesso operacional . A decisão de 1º de junho de incluir a ENISA é uma resolução direta desta campanha de pressão pública.

As Capacidades Inéditas do Mythos

Entender o significado desse acesso exige entender o que o Mythos pode fazer. O Claude Mythos Preview não é um simples chatbot. É um modelo de IA que, uma vez recebido um comando, pode ler código-fonte de forma autônoma, formular hipóteses, executar testes e escrever explorações (exploits) funcionais — tudo sem intervenção humana . Durante as avaliações iniciais, ele descobriu milhares de vulnerabilidades de dia-zero de alta severidade em todos os principais sistemas operacionais, incluindo Windows, macOS, Linux e todos os principais navegadores .

Alguns dos achados específicos são impressionantes. O Mythos identificou um bug de 27 anos na implementação do TCP SACK do OpenBSD, uma falha de 16 anos no FFmpeg, e encadeou autonomamente quatro vulnerabilidades para escapar da sandbox do sistema operacional de um navegador . Ele construiu 181 exploits shell funcionais contra o Firefox 147, enquanto o melhor modelo anterior conseguiu apenas 2 . Em 23 de maio de 2026, esses esforços haviam escalado massivamente: os parceiros do Projeto Glasswing relataram ter encontrado mais de 10.000 vulnerabilidades de severidade alta ou crítica em softwares sistemicamente importantes, com a Cloudflare sozinha encontrando quase 2.000 bugs com uma taxa de falsos positivos menor do que a de testadores humanos .

A Estrutura Defensiva do Projeto Glasswing

Apesar do poder ofensivo do modelo, o acesso é governado por termos estritos. Todos os parceiros do Projeto Glasswing devem usar o Mythos Preview exclusivamente para trabalho de segurança defensiva. Isso significa identificar, corrigir e relatar vulnerabilidades em softwares críticos . Os termos proíbem explicitamente operações cibernéticas ofensivas. A Anthropic comprometeu até US$ 100 milhões em créditos de uso para a iniciativa e US$ 4 milhões em doações diretas para organizações de segurança de código aberto .

A inclusão da ENISA significa que a UE agora pode aplicar essa capacidade defensiva à sua própria infraestrutura crítica. As instituições europeias enfrentam riscos genuínos de adversários que poderiam obter ou replicar capacidades de IA semelhantes . O BCE já alertou os bancos da zona do euro que as ameaças cibernéticas impulsionadas por IA, com referência específica a ferramentas da classe do Mythos, são uma preocupação de primeira ordem . O acesso da ENISA proporciona visibilidade em primeira mão do panorama de ameaças e a capacidade de testar as defesas europeias contra o mais avançado scanner de vulnerabilidade por IA que se conhece.

O Que o Acordo Não Resolve

O acordo é um grande passo para a soberania da cibersegurança da UE, mas tem escopo limitado. Embora a ENISA agora tenha um lugar à mesa, o acesso para instituições financeiras europeias mais amplas e para países-membros individuais permanece sem solução. Até o final de maio de 2026, as conversas sobre acordos de teste para bancos europeus estavam paralisadas . A adesão da ENISA ao Projeto Glasswing fecha uma lacuna diplomática, mas ainda não estende o guarda-chuva defensivo do modelo por todo o continente.