Anthropic usa IA para caçar vulnerabilidades em escala e forma coalizão com 40 empresas
Project Glasswing reúne AWS, Apple, Microsoft e CrowdStrike para descoberta automatizada de falhas em software crítico usando o Claude Mythos Preview, modelo ainda não disponível comercialmente.
A Anthropic liberou em maio acesso restrito a um modelo ainda não lançado comercialmente para um grupo específico de empresas com uma tarefa específica: encontrar vulnerabilidades em software crítico antes que atacantes o façam. O programa se chama Project Glasswing e envolve aproximadamente 40 organizações, entre elas AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, JPMorgan Chase e Palo Alto Networks. A companhia alocou US$ 100 milhões em créditos de uso do modelo para sustentar a iniciativa.
O modelo em questão é o Claude Mythos Preview, descrito pela Anthropic como de fronteira e com capacidade de raciocínio de código significativamente acima das versões comerciais disponíveis. Em testes internos, o Mythos identificou milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores. O caso mais citado pela empresa é uma falha com 27 anos de existência no OpenBSD, sistema operacional reconhecido pelo rigor de seus processos de revisão de código e testes automatizados.
A Anthropic não divulgou a lista completa das CVEs encontradas, citando processo de divulgação coordenada com os fabricantes afetados. O cronograma de remediação tampouco foi tornado público. A Arctic Wolf, uma das parceiras do programa, descreveu a iniciativa como uma inflexão no balanço entre atacantes e defensores, pontuando que atores ofensivos foram historicamente os primeiros a operacionalizar capacidades de IA generativa em escala.
Esse é exatamente o ponto de tensão do Glasswing. As mesmas capacidades que identificam vulnerabilidades para quem defende sistemas podem, com menor fricção, fazer o mesmo para quem os ataca. A janela entre descoberta de uma falha e disponibilidade de exploit tende a comprimir quando modelos de fronteira entram no processo. Para MSSPs e integradores brasileiros que ainda operam ciclos de patching trimestrais, o ritmo implícito no Glasswing é um sinal de que esse intervalo precisa ser revisado.
A Anthropic posiciona o Mythos como preview, o que sugere uma versão comercial em horizonte de 12 a 18 meses. Quando isso acontecer, a capacidade de análise de código via IA de fronteira deve entrar nos critérios de avaliação de plataformas de AppSec. Para CTOs que conduzem RFPs neste segundo semestre, o projeto Glasswing antecipa o que passa a ser requisito relevante.