Modelo Mythos revelou fraquezas em sistemas operacionais, navegadores e servidores de forma autônoma; acesso será limitado a parceiros do setor através do Projeto Glasswing
A Anthropic desenvolveu um avançado modelo de inteligência artificial que consegue identificar e explorar vulnerabilidades de dia zero de maneira autônoma em diversos sistemas operacionais e navegadores.
Batizado de Mythos, o modelo não será disponibilizado ao grande público. Em vez disso, a empresa criou um programa restrito chamado Projeto Glasswing, permitindo que a ferramenta chegue a defensores antes que adversários adquiram capacidades semelhantes.
Modelo gera exploits com alta taxa de sucesso
A performance do Mythos se destaca em comparação aos modelos tradicionais da Anthropic. Em um teste conhecido como CyberGym, que avalia a habilidade de replicar vulnerabilidades de segurança, o Mythos Preview alcançou 83,1%, enquanto o Claude Opus 4.6 obteve apenas 66,6%. Na criação de código para exploração funcional, o Mythos teve uma taxa de 72,4%, enquanto o Opus ficou perto de zero.
A vantagem também é evidente em benchmarks de programação, como o SWE-bench Verified, onde o Mythos marcou 93,9% contra 80,8% do Opus 4.6. No SWE-bench Pro, a diferença aumentou: 77,8% contra 53,4%.
Descoberta de vulnerabilidades antigas
A Anthropic divulgou detalhes técnicos sobre algumas vulnerabilidades que já foram corrigidas. O Mythos encontrou, por exemplo, uma falha que existia há 27 anos no OpenBSD, um sistema operacional conhecido por sua robustez em segurança. Esta vulnerabilidade permitiria a um atacante derrubar qualquer máquina rodando o sistema apenas com uma conexão.
Além disso, o modelo identificou uma falha com 16 anos no FFmpeg, uma biblioteca usada para codificação e decodificação de vídeos, a qual não foi detectada por ferramentas automatizadas que já processaram essa linha de código milhões de vezes.
Exploits complexos em ambientes seguros
Um relato no documento da Anthropic mostra como engenheiros, sem formação formal em segurança, pediram ao Mythos Preview que procurasse vulnerabilidades de execução remota de código. Na manhã seguinte, estavam em posse de exploits completos e funcionais.
O modelo demonstrou ser capaz de encadear várias vulnerabilidades para realizar ataques sofisticados, como um ataque de heap spray JIT, que conseguia escapar do ambiente de segurança do sistema operacional.
Projeto Glasswing: parcerias estratégicas
A Anthropic decidiu não lançar o Mythos ao público, argumentando que as capacidades que tornam o modelo perigoso nas mãos erradas também o tornam valioso para encontrar e resolver falhas em softwares cruciais. O Projeto Glasswing tem como parceiros fundadores empresas como Amazon Web Services, Apple, Cisco, Google e Microsoft, entre outros. O objetivo é realizar testes de segurança em software crítico.
Investimentos e doações
A Anthropic reservou até US$ 100 milhões em créditos para uso do Mythos Preview durante o programa. Além disso, fez doações a projetos de código aberto, incluindo US$ 2,5 milhões à Alpha-Omega.
Discussões com o governo dos EUA
A empresa está dialogando com o governo dos EUA sobre as capacidades do Mythos Preview, destacando que a segurança nacional está envolta na liderança em IA.
O plano de longo prazo não contempla a liberação do Mythos ao público, priorizando a criação de salvaguardas adequadas para garantir o uso seguro desses modelos em larga escala.
Acompanhe o TecMania nas redes sociais para mais novidades sobre segurança e tecnologia.