Anthropic abre Mythos a Samsung, Okta, OTAN e ENISA e leva Project Glasswing a 150 organizações em 15 países
Modelo de fronteira não-lançado da Anthropic já identificou mais de 10 mil falhas críticas. Empresa aporta US$ 100 milhões em créditos de uso e US$ 4 milhões em doações para segurança open source.
A Anthropic anunciou em 2 de junho a expansão do Project Glasswing para mais 150 organizações em 15 países, abrindo acesso ao Claude Mythos, modelo de fronteira ainda não-lançado da casa, e direcionando US$ 100 milhões em créditos de uso para parceiros mais US$ 4 milhões em doações diretas para organizações open source de segurança. A lista nominal traz a Okta nos Estados Unidos, Samsung, SK Hynix e SK Telecom na Coreia do Sul, a OTAN em Bruxelas e a ENISA, agência europeia de cibersegurança.
O Glasswing começou em abril com cerca de 50 parceiros, incluindo agências do governo americano. Em dois meses, a Anthropic afirma que esses parceiros encontraram mais de 10 mil vulnerabilidades classificadas como alta ou crítica severidade, número que a empresa usa para sustentar a tese de que o Mythos opera num patamar em que supera a maioria dos pesquisadores humanos em descoberta e exploração de falhas em código. Segundo a Anthropic, o modelo já identificou bugs em todos os principais sistemas operacionais e navegadores web.
Por que OTAN, Samsung e Okta entraram na mesma rodada
A composição da segunda leva não é aleatória. Setores que ficaram de fora da fase inicial entraram agora: energia elétrica, saneamento, saúde, telecomunicações e fabricação de hardware. Samsung, SK Hynix e SK Telecom cobrem a cadeia coreana de chips e telecom, vertical onde a Anthropic precisa demonstrar capacidade ofensiva em firmware e baseband. A OTAN cobre o pilar militar aliado, e a ENISA dá legitimidade institucional para deployments em Estado-membro europeu, num momento em que o AI Act europeu acaba de entrar em vigor para aplicações de risco em infraestrutura crítica.
A Okta é o vetor de identity-and-access management para milhares de empresas Fortune 500, e a inclusão no programa significa que a Anthropic agora roda Mythos contra o stack que protege login corporativo de boa parte do mercado americano. Há um efeito de fila implícito: clientes Okta que dependem do mesmo plano de controle ganham, na prática, uma camada extra de varredura sem pagar por ela.
A geografia do programa: 15 países, três blocos
A expansão geográfica inclui Canadá, Austrália, Nova Zelândia, França, Alemanha, Itália, Suíça, Holanda, Espanha, Bélgica, Suécia, Índia e Japão. A lista replica, sem coincidência, o perímetro dos Five Eyes ampliado pelos parceiros da OTAN e por dois pesos pesados asiáticos. China e Rússia ficam de fora, em decisão consistente com o desenho de export controls que o Departamento de Comércio americano vinha apertando desde 2024.
Para CISOs de companhias com operação em múltiplas geografias, o anúncio reabre um debate que o setor evitava enquadrar: o mesmo modelo de IA que encontra vulnerabilidades para o defensor encontra-as, em princípio, para o atacante. A Anthropic argumenta que o Mythos opera sob acesso controlado, mas a literatura técnica de modelos de fronteira mostra que ataques de prompt injection e jailbreak funcionam em frequência não desprezível mesmo em modelos topo de linha. O risco de difusão caso a barreira de acesso à API ceda passa a ser discutido abertamente entre pesquisadores de segurança da fronteira da IA.
O timing fala mais do que o release
O anúncio coincide com a ordem executiva americana de IA assinada no mesmo dia, que cria um AI Cybersecurity Clearinghouse coordenado pela Casa Branca para centralizar inteligência sobre vulnerabilidades em modelos de IA. A Anthropic, que protocolou registro confidencial de IPO na SEC em 1º de junho com valuation de US$ 965 bilhões, posiciona o Glasswing como demonstração de valor estratégico nacional no ciclo em que o governo americano formaliza interlocução com laboratórios de fronteira.
Para o mercado de cibersegurança, o impacto é cumulativo. CrowdStrike, Palo Alto Networks, SentinelOne e o segmento de bug bounty montado em torno de HackerOne e Bugcrowd convivem agora com um modelo de IA que descobre falhas em escala industrial dentro de um programa fechado, sem entrada na economia de recompensas. A questão para CIOs deixa de ser se a IA de fronteira altera a economia da descoberta de vulnerabilidades e passa a ser quanto tempo a varredura interna leva para se tornar comparável à oferta cativa.
Para Coreia do Sul, Índia e Japão, mercados que entraram na expansão, o efeito imediato é seletivo. As três geografias têm participação assimétrica no programa: a Coreia do Sul recebe três fornecedores da cadeia de chips de uma vez, a Índia entrou com um parceiro inicial e o Japão recebe o acesso como porta de entrada para defesa de fabricantes da cadeia automotiva. A Anthropic dá um sinal sobre quem ela considera prioritário em soberania cibernética, e o sinal não tem distribuição uniforme.