Um mês após o lançamento do Mythos, o novo modelo de inteligência artificial da Anthropic, os receios iniciais de que ele pudesse impulsionar drasticamente a atividade de hackers parecem ter sido exagerados. A empresa havia alertado em abril que o Mythos havia descoberto milhares de vulnerabilidades de software, incluindo falhas em todos os principais sistemas operacionais e navegadores, e que as consequências de sua disseminação poderiam ser graves.
A descoberta gerou atenção governamental. Autoridades de diversos países se reuniram com bancos para avaliar os riscos, e no início de maio, a Casa Branca já considerava a criação de regras para controlar a liberação de novos modelos de IA após testes de segurança. No entanto, no universo da cibersegurança, a reação tem sido mais contida. Alguns especialistas afirmam que a repercussão geral foi desproporcional e que o acesso a um modelo de linguagem tão avançado quanto o Mythos não permitirá, de imediato, operações de hacking que antes estavam fora do alcance de agentes mal-intencionados.
Comunicação e Realidade Técnica
“Acho que existe uma grande lacuna de comunicação entre profissionais da área e formuladores de políticas”, declarou Isaac Evans, fundador e CEO da empresa de segurança de software Semgrep. Ele descreveu o Mythos como um “verdadeiro avanço técnico”, mas ressaltou que a resposta governamental “não é fundamentada no que realmente sabemos sobre como essas capacidades se traduzirão na prática”.
Especialistas que utilizaram o modelo em ambientes controlados relataram uma melhoria substancial na detecção de vulnerabilidades. Conforme informado pela Reuters em 12 de maio, equipes de TI do setor bancário estão trabalhando para corrigir dezenas de fragilidades em sistemas tecnológicos de bancos de todos os portes. A preocupação aumentou com revelações contínuas de ataques cibernéticos envolvendo IA, incluindo um anúncio do Google em 11 de maio sobre a detecção do primeiro caso de um grande grupo de cibercriminosos usando IA para descobrir uma falha de software desconhecida e planejar um ataque de exploração em massa.
O Desafio da Validação e Priorização
A discrepância entre a ameaça percebida por profissionais de segurança e legisladores alimentou uma narrativa que coloca o Mythos no centro de uma iminente crise de segurança, mesmo que capacidades comparáveis já existam há algum tempo. “Há meses, senão anos, conseguimos usar IA para encontrar mais bugs do que sabemos o que fazer”, disse uma fonte com vasta experiência em pesquisa de vulnerabilidades e acesso antecipado ao Mythos. Segundo ela, o desafio não é encontrar vulnerabilidades, mas sim validá-las, priorizá-las e corrigi-las sem comprometer os sistemas.
A capacidade das organizações de processar e validar uma enxurrada de vulnerabilidades recém-descobertas geralmente não está no nível ideal, o que representa o maior desafio dos modelos de nível Mythos, mesmo reconhecendo a melhoria que ele traz. “Ele é capaz de encontrar mais vulnerabilidades com instruções mais simples do que os modelos anteriores”, explicou a fonte, referindo-se às instruções fornecidas ao modelo. Modelos existentes exigiam comandos mais detalhados e complexos, o que significa que a barreira de entrada foi significativamente reduzida.
Novas Capacidades e Restrições
Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, destacou que um aspecto útil do Mythos é sua capacidade não apenas de identificar vulnerabilidades, mas também de analisar grandes quantidades de código em busca delas com muito mais rapidez, auxiliando profissionais experientes a reduzir a taxa de falsos positivos. Isso permite que os defensores se concentrem nos riscos cibernéticos mais urgentes em seus contextos. O modelo também possui menos restrições que modelos anteriores, permitindo que os usuários criem instruções mais específicas que viabilizam atividades antes inviáveis.
Grieco afirmou que, para maximizar o poder do Mythos, as organizações precisam de poder computacional adequado e de uma infraestrutura rigorosa. “Se você tem um carro de Fórmula 1, mas só dirigiu uma moto até hoje, talvez consiga fazê-lo andar em linha reta”, comparou. “Mas você não vai conseguir aproveitar ao máximo o tempo na pista logo na largada.”
A estratégia da Anthropic, incluindo o convite a empresas selecionadas para testar defesas sob o programa Projeto Glasswing, ajudou a levar a discussão sobre o modelo para além dos círculos de segurança tradicionais. O resultado foi uma resposta abrangente que amplificou tanto a ameaça percebida quanto o prestígio da empresa, mesmo com o Pentágono classificando a Anthropic como um risco para a cadeia de suprimentos, enquanto outras partes do governo clamavam por acesso.
Um funcionário da Casa Branca informou à Reuters que o governo está discutindo com laboratórios de IA o uso mais amplo de sua tecnologia. Um porta-voz da Anthropic confirmou que a empresa está trabalhando “em estreita colaboração com o governo dos EUA para avançar rapidamente em prioridades compartilhadas” e colaborando para dar acesso ao Mythos a mais entidades.
IA na Detecção de Vulnerabilidades: Um Avanço Contínuo
O Mythos, e em certa medida o GPT-5.5 da OpenAI, dominaram as discussões sobre segurança nacional relacionadas à IA. No entanto, esses debates frequentemente ignoram um ponto mais simples: a IA capaz de detectar vulnerabilidades não é uma novidade. O verdadeiro problema reside no que vem a seguir. “Nossos adversários se tornaram muito bons sem IA”, disse Cynthia Kaiser, ex-funcionária sênior de segurança cibernética do FBI, agora na Halcyon. “Ataques de ransomware estão acontecendo em menos de uma hora”, acrescentou, ressaltando que a maioria das ameaças ainda não depende de IA.
Por enquanto, a escala do Mythos e suas exigências de computação e infraestrutura limitam quem pode utilizá-lo. Contudo, é improvável que essas barreiras durem. “Não acho que a arquitetura esteja otimizada”, comentou Nick Adam, da empresa de serviços financeiros State Street, durante um painel na Universidade Vanderbilt. Ele apontou para a infraestrutura de processamento de computadores e o problema de conectividade identificados por Grieco. “Há uma barreira de entrada aí — mas será resolvida rapidamente.”
Fonte: CNN BRASIL
