A Anthropic revelou que seu projeto de segurança ofensiva defensiva, chamado Project Glasswing, já identificou mais de 10 mil vulnerabilidades de alta ou crítica severidade em softwares amplamente utilizados ao redor do mundo desde o lançamento da iniciativa, ocorrido no mês passado. O programa utiliza um modelo experimental de inteligência artificial chamado Claude Mythos Preview, desenvolvido especificamente para análise autônoma de falhas de segurança em códigos e infraestruturas críticas.

Segundo a empresa, o objetivo do Glasswing é fortalecer a segurança de softwares considerados “sistemicamente importantes”, permitindo que equipes defensivas encontrem vulnerabilidades antes que criminosos cibernéticos consigam explorá-las. O acesso ao modelo foi inicialmente restrito a cerca de 50 parceiros estratégicos ligados à segurança ofensiva, pesquisa de vulnerabilidades e proteção de infraestruturas críticas.

De acordo com os dados divulgados, 6.202 vulnerabilidades identificadas foram classificadas como falhas de alta ou crítica severidade em mais de mil projetos open source. Após análises técnicas adicionais, 1.726 ocorrências foram confirmadas como verdadeiros positivos, enquanto 1.094 falhas foram consideradas efetivamente críticas ou de alta gravidade.

Entre os casos citados pela Anthropic está uma vulnerabilidade crítica descoberta na biblioteca criptográfica WolfSSL, registrada como CVE-2026-5194 e com pontuação CVSS de 9.1. A falha poderia permitir que invasores falsificassem certificados digitais e se passassem por serviços legítimos, comprometendo a confiança em conexões seguras e autenticações criptográficas.

A empresa afirmou que os esforços do projeto já resultaram em 97 correções aplicadas diretamente pelos desenvolvedores dos softwares afetados, além da publicação de 88 comunicados oficiais de segurança.

A Anthropic reconheceu que a velocidade com que modelos de IA conseguem identificar vulnerabilidades começa a superar significativamente a capacidade das equipes técnicas de corrigir os problemas. Segundo a companhia, esse desequilíbrio representa um dos maiores desafios atuais para a segurança digital.

O avanço ocorre em meio a uma crescente adoção de inteligência artificial na descoberta automatizada de falhas. A Microsoft, por exemplo, já afirmou recentemente que espera um aumento contínuo no volume mensal de patches devido à aceleração proporcionada por ferramentas de IA voltadas à pesquisa de vulnerabilidades.

A plataforma XBOW, especializada em segurança ofensiva autônoma, descreveu o Mythos Preview como um avanço significativo em relação aos modelos anteriores, destacando sua capacidade de analisar código-fonte com foco em segurança ofensiva e identificar cadeias completas de exploração. Pesquisas recentes também indicam que o modelo apresenta desempenho elevado na transformação de vulnerabilidades isoladas em ataques completos de múltiplas etapas.

Além da identificação de falhas técnicas, a Anthropic afirmou que o modelo também demonstrou capacidade operacional em cenários reais de fraude e detecção de ameaças. Em um dos casos apresentados, um banco parceiro do projeto utilizou o Mythos Preview para impedir uma transferência fraudulenta de US$ 1,5 milhão após um invasor comprometer a conta de e-mail de um cliente e utilizar chamadas telefônicas falsas para tentar validar a transação.

Diante da evolução dessas capacidades, a Anthropic alertou que modelos semelhantes ao Mythos poderão se tornar amplamente acessíveis no futuro próximo, aumentando drasticamente a velocidade de descoberta e exploração de vulnerabilidades por grupos hackers.

Como resposta, a empresa recomenda que organizações reduzam seus ciclos de correção de falhas e acelerem a aplicação de patches críticos. Entre as recomendações estão o endurecimento das configurações padrão de rede, adoção obrigatória de autenticação multifator, melhoria da telemetria de segurança e manutenção de logs completos para detecção e resposta a incidentes.

O cenário também começa a provocar mudanças operacionais entre grandes fornecedores de tecnologia. A Oracle, por exemplo, recentemente abandonou ciclos trimestrais para adotar atualizações mensais de segurança voltadas à correção mais rápida de vulnerabilidades críticas.

Paralelamente, a Anthropic anunciou um novo programa chamado Cyber Verification Program, que permitirá que profissionais legítimos de segurança utilizem versões dos modelos sem determinados mecanismos restritivos para atividades como pesquisa de vulnerabilidades, pentests e exercícios de red team. A iniciativa segue uma abordagem semelhante ao programa Daybreak, da OpenAI, que disponibiliza o GPT-5.5-Cyber para fluxos especializados de defesa cibernética.

Apesar dos avanços, modelos como o Mythos Preview e o GPT-5.5-Cyber ainda não foram disponibilizados publicamente. As empresas envolvidas alegam que ainda não existem salvaguardas suficientes para impedir o uso abusivo dessas tecnologias em larga escala por agentes maliciosos.

A Anthropic afirmou que o Glasswing busca fornecer uma vantagem assimétrica para defensores cibernéticos, mas destacou que existe uma necessidade urgente de que organizações reforcem rapidamente suas posturas de segurança diante da evolução acelerada das capacidades ofensivas baseadas em inteligência artificial.