Login Inscreva-se
4 min de leitura

Claude Mythos: A Revolução da Cibersegurança que a Própria Anthropic Não Confia?

Compartilhar
Claude Mythos: A Revolução da Cibersegurança que a Própria Anthropic Não Confia?

Há um mês, a Anthropic anunciava o Claude Mythos como o fim da caça humana a vulnerabilidades. Agora, abre um bug bounty público pedindo ajuda dos mesmos humanos que dizia superar. O paradoxo é tão gritante quanto revelador.

O Paradoxo em Dois Atos

Em abril, a Anthropic apresentou o Claude Mythos e o Project Glasswing — uma iniciativa fechada de cibersegurança capaz, segundo a empresa, de identificar e encadear vulnerabilidades com eficiência muito superior a sistemas públicos. O discurso era claro: a IA estava prestes a tornar obsoleta a pesquisa humana de falhas de segurança.

Hoje, a mesma Anthropic anuncia um programa público de bug bounty na HackerOne, convidando pesquisadores externos — humanos — a reportar vulnerabilidades em seus sistemas. A contradição é tão evidente quanto incômoda.

"Se o Mythos é tão revolucionário, por que a Anthropic ainda precisa de hackers humanos tradicionais?"
Paradoxo da IA e humanos na cibersegurança

O Programa de Bug Bounty da Anthropic

O escopo cobre as principais superfícies de ataque da empresa:

  • Claude.ai — plataforma web
  • API — serviços de inferência
  • Claude Code — agente de codificação autônomo

As recompensas seguem o CVSS, modelo clássico de bug bounties. Destaque para o Claude Code, incluído com foco em riscos emergentes em agentes de IA autônomos:

  • Execução não autorizada de comandos
  • Uso invisível de ferramentas
  • Bypass de permissões de segurança

A decisão de abrir um canal público para pesquisadores humanos, ao mesmo tempo que se promove o Mythos como o futuro da cibersegurança, gerou ceticismo imediato na comunidade de segurança.

O Mythos Sob Escrutínio

Especialistas de peso não tardaram a questionar a transparência das alegações da Anthropic.

Heidy Khlaaf, engenheira de segurança líder do Trail of Bits, foi direta:

"A Anthropic não divulgou comparações com ferramentas de análise estática já estabelecidas, nem métricas básicas de falsos positivos. Sem esses dados, as alegações de superioridade do Mythos são impossíveis de verificar."

David Ottenheimer, especialista em cibersegurança e ex-analista do governo dos EUA, acrescentou:

"O ciclo de verificação fechado do Project Glasswing e Mythos — onde documentos técnicos referenciam uns aos outros — mina a confiança. Precisamos de avaliação independente, não de auto-referência."

As críticas apontam para um problema central: marketing agressivo sem lastro técnico verificável.

O Estudo da AISLE: Modelos Pequenos, Grandes Resultados

Um relatório recente do AISLE (AI Safety and Infrastructure Lab) aprofunda ainda mais a polêmica.

A pesquisa demonstrou que modelos open-weights pequenos (com apenas 3,6 bilhões de parâmetros, custando US$ 0,11 por milhão de tokens) conseguem replicar grande parte da análise de vulnerabilidades atribuída ao Mythos.

Isso levanta uma questão incômoda: qual é o verdadeiro avanço técnico do Mythos se modelos significativamente menores e mais baratos já alcançam resultados similares?

O estudo sugere que a Anthropic pode estar superdimensionando as capacidades do Mythos, enquanto a comunidade acadêmica demonstra que acessibilidade e transparência ainda são as maiores forças da pesquisa em segurança.

A Avaliação do UK ASI: Potencial em Laboratório, Ressalvas no Mundo Real

Nem tudo é crítica negativa. O UK ASI conduziu uma avaliação controlada do Mythos Preview e confirmou que o modelo completou simulações complexas de ataques cibernéticos em ambiente laboratorial.

Por exemplo, o Mythos conseguiu realizar a tomada de uma rede corporativa simulada em 22 de 32 passos — um desempenho impressionante.

No entanto, o relatório do UK ASI traz uma ressalva crucial:

"Os resultados não se aplicam necessariamente a redes reais com defesas ativas, equipes de resposta a incidentes e complexidades operacionais imprevistas."

Em outras palavras: controlado não é real. O abismo entre um simulado de laboratório e uma infraestrutura corporativa em produção continua sendo o maior desafio para a adoção de IA defensiva.

Implicações para o Mercado e a Indústria

O caso Mythos + bug bounty cria um cenário paradoxal que terá impactos reais:

  • Ceticismo empresarial: Empresas e governos podem reduzir a confiança em soluções de segurança baseadas unicamente em IA, atrasando adoção até que haja validação independente e transparente.
  • Fortalecimento dos pesquisadores humanos: O bug bounty da Anthropic valida o papel dos hackers tradicionais e pode incentivar outras empresas de IA a lançar iniciativas semelhantes, equilibrando o hype com práticas consolidadas.
  • Demanda por soluções híbridas: A tensão entre marketing e resultados reais impulsionará a procura por arquiteturas que combinem IA com expertise humana, além de maior escrutínio regulatório sobre alegações de capacidade de modelos de fronteira.

Riscos e Limitações

É fundamental reconhecer os perigos embutidos nessa narrativa:

  1. Falsa sensação de segurança: Dependência excessiva de alegações não verificadas de IA pode levar à negligência de processos tradicionais de segurança.
  2. Ciclo fechado de verificação: Documentos técnicos do Project Glasswing e Mythos que referenciam uns aos outros minam a confiança e dificultam a avaliação independente.
  3. Desempenho irreal: O sucesso do Mythos em ambientes controlados pode não se traduzir em eficácia em redes corporativas reais, devido a defesas ativas e complexidades operacionais.
  4. Risco reputacional: O marketing agressivo superando os avanços reais já está gerando reações negativas na comunidade de segurança — como visto nas críticas públicas de Khlaaf, Ottenheimer e outros.

Visão Metatron: O Futuro Híbrido da Cibersegurança

O paradoxo Anthropic revela uma verdade fundamental que o mercado de IA ainda tenta ignorar: a cibersegurança é, acima de tudo, uma disciplina humana.

A IA pode — e deve — ser uma ferramenta poderosa para amplificar a capacidade dos pesquisadores, automatizar tarefas repetitivas e identificar padrões em escala. Mas substituir o julgamento humano, a intuição contextual e a criatividade tática de um hacker experiente ainda está muito além dos modelos atuais.

O lançamento do bug bounty público não é uma falha da Anthropic — é um reconhecimento tácito de que a excelência em segurança cibernética exige diversidade de abordagens. A combinação de IA e humanos, em ciclos de feedback contínuos, é o caminho mais seguro para o futuro.

O mito do Mythos não é que a IA não funcione — é que funcione sozinha. O mercado precisa de soluções híbridas, transparentes e verificáveis. Empresas que abraçarem essa verdade — equilibrando hype com prática, marketing com métricas reais — serão as que liderarão a próxima década da segurança cibernética.A Anthropic deu um passo importante com o bug bounty. O próximo passo é garantir que o Mythos seja avaliado com o mesmo rigor que os pesquisadores humanos enfrentam todos os dias. Só assim a confiança — esse ativo intangível mas essencial — será conquistada.

Published by:

Guilherme Zanini de Sá