A Anthropic revelou que o Projeto Glasswing ajudou a descobrir mais de 10.000 vulnerabilidades de alta ou crítica gravidade em alguns dos softwares mais importantes “sistemicamente” do mundo desde que a iniciativa de cibersegurança foi lançada.
O Projeto Glasswing é uma iniciativa defensiva lançada pela empresa de inteligência artificial (IA) para proteger infraestruturas de software globais críticas. Ele concede a um pequeno grupo de cerca de 50 parceiros acesso antecipado e exclusivo ao Claude Mythos Preview, um modelo de vanguarda com capacidade para identificar vulnerabilidades em softwares amplamente utilizados de forma autônoma, antes que agentes maliciosos possam explorá-las.
Dessas vulnerabilidades, 6.202 foram classificadas como falhas de alta ou crítica gravidade, afetando mais de 1.000 projetos de código aberto. Análises subsequentes dessas vulnerabilidades candidatas identificaram que 1.726 são verdadeiros positivos. Um total de 1.094 falhas foram avaliadas como de alta ou crítica gravidade.
Uma das vulnerabilidades identificadas é uma falha crítica no WolfSSL (CVE-2026-5194 , pontuação CVSS: 9,1) que poderia permitir que um atacante falsificasse certificados e se fizesse passar por um serviço legítimo. No total, esses esforços resultaram na correção de 97 vulnerabilidades encontradas e na emissão de 88 avisos.
A Anthropic reconheceu que a relativa facilidade de encontrar vulnerabilidades em comparação com a dificuldade de corrigi-las representa um grande desafio para a cibersegurança e que enfrentar esse desafio com sucesso tornará nosso software muito mais seguro do que antes.
Essa novidade surge em um momento em que os fornecedores de software estão lançando mais correções do que nunca, impulsionados por um aumento na descoberta de vulnerabilidades assistida por IA.
A Microsoft observou que o número de novos patches que espera lançar mensalmente deve continuar aumentando por algum tempo. A plataforma autônoma de segurança ofensiva XBOW descreveu o Mythos Preview como um grande avanço, substancialmente melhor do que os modelos anteriores na identificação de vulnerabilidades potenciais e hábil na análise de código-fonte com uma mentalidade de segurança. Análises recentes também constataram que o modelo se destacou na transformação de vulnerabilidades em cadeias de ataque de ponta a ponta.
A Anthropic afirma que a utilidade do Mythos Preview vai além da detecção de falhas de segurança e cita o caso de um banco parceiro da Glasswing que teria utilizado o modelo de IA para detectar e impedir uma transferência eletrônica fraudulenta de US$ 1,5 milhão, após um agente malicioso desconhecido invadir a conta de e-mail de um cliente e realizar ligações telefônicas fraudulentas.
Considerando que modelos com capacidades semelhantes ao Mythos poderão estar amplamente disponíveis em um futuro próximo, a Anthropic está incentivando os desenvolvedores de software a reduzirem seus ciclos de atualização e disponibilizarem correções de segurança o mais rápido possível.
A Anthropic postula que os responsáveis pela segurança da rede devem reduzir os prazos de teste e implementação de patches e isso inclui medidas como reforçar as configurações padrão das redes, impor autenticação multifator e manter registros completos para detecção e resposta. Também afirmou ter lançado um Programa de Verificação Cibernética que permite que profissionais de segurança usem seus modelos sem restrições para fins legítimos, como pesquisa de vulnerabilidades, testes de penetração e simulações de ataques cibernéticos. Isso é semelhante ao Daybreak da OpenAI, que também permite que profissionais de segurança utilizem o GPT-5.5-Cyber para fluxos de trabalho especializados.
Modelos como o Mythos Preview e o GPT-5.5-Cyber ainda não foram lançados para o público em geral devido a preocupações de que atualmente não existam salvaguardas adequadas para impedir seu uso indevido em larga escala. Segundo a Anthropic. o Glasswing ajuda os defensores cibernéticos mais importantes a obterem uma vantagem assimétrica, mas existe uma necessidade urgente de que o maior número possível de organizações reforce suas defesas cibernéticas. Esperamos que nossos modelos, disponíveis ao público em geral, e as novas ferramentas, recursos e pesquisas que estamos fornecendo para acompanhá-los, auxiliem essas organizações a aprimorarem sua postura de segurança cibernética.
