O Mythos da Antrópico desencadeou uma ‘histeria’ de segurança cibernética. Especialistas dizem que a ameaça já estava aqui

Bancos globais, gigantes da tecnologia e governos foram enviados no mês passado para conter os riscos representados pelo Mythos, o modelo antrópico considerado tão poderoso que encontrou milhares de vulnerabilidades até então desconhecidas na infraestrutura de software program mundial.

Só há um problema: a capacidade que os preocupa já está aqui.

Especialistas em segurança cibernética e pesquisadores de inteligência synthetic disseram à CNBC que as vulnerabilidades de software program reveladas pela Mythos podem ser encontradas usando modelos existentes, incluindo os da Anthropic e OpenAI.

“O que estamos vendo agora em toda a indústria é que as pessoas são capazes de reproduzir as vulnerabilidades encontradas no Mythos através da orquestração inteligente de modelos públicos para obter resultados muito, muito semelhantes”, disse Ben HarrisCEO de empresa de segurança cibernética assistaTowr Labs.

Mythos sacudiu executivos e formuladores de políticas tanto pela preocupação de que uma nova period perigosa de crimes cibernéticos baseados em IA possa estar próxima. A Anthropic limitou seu lançamento a algumas empresas americanas, incluindo Maçã, Amazônia, JPMorgan Chase e Redes Palo Alto para reduzir o risco de maus atores colocarem as mãos nele.

Mesmo com essa precaução, a liberação motivou o Administração Trump considerar uma nova supervisão governamental sobre modelos futuros.

É o mais recente de uma série de lançamentos de alto perfil da Anthropic que intensificaram sua rivalidade com a OpenAI à medida que os dois gigantes da IA ​​se aproximam de seus tão aguardados IPOs. Semanas após a chegada do Mythos, o CEO da OpenAI, Sam Altman, anunciou o GPT-5.5-Cyber, um modelo especificamente adaptado para segurança cibernética.

A OpenAI permitiu na quinta-feira acesso limitado ao GPT-5.5-Cyber ​​para equipes de segurança cibernética avaliadas.

A implementação controlada do Mythos, parte de uma medida de segurança chamada Projeto Glasswingperiod dar tempo ao mundo empresarial para cingir as suas defesas cibernéticas contra um ataque violento de grupos criminosos e nações adversárias.

“O perigo é apenas um enorme aumento na quantidade de vulnerabilidades, na quantidade de violações, nos danos financeiros causados ​​pelo ransomware em escolas, hospitais, para não mencionar bancos”, disse o CEO da Anthropic, Dario Amodei, esta semana em um evento da Anthropic.

Mas para aqueles que lutam nas trincheiras da guerra cibernética, uma das principais capacidades anunciadas pela Anthropic – encontrar vulnerabilidades de software program em grande escala – existe desde então. ano passado.

“Os modelos que temos agora são poderosos o suficiente para detectar zero dias em grande escala, e isso é bastante assustador”, Klaudia KlocCEO da empresa de segurança cibernética Vidoc, disse à CNBC.

Esse tem sido o caso há “alguns meses, senão um ano”, disse ela.

O termo “dia zero” refere-se a uma falha de software program anteriormente desconhecida que não foi corrigida, dando aos invasores uma janela para explorá-la antes que os defensores possam responder.

Os pesquisadores da Vidoc se apoiaram em uma técnica chamada “orquestração” para teste se eles pudessem encontrar as mesmas vulnerabilidades que Mythos encontrou. Como o nome sugere, o processo envolve a criação de fluxos de trabalho que dividem o código em partes menores, coordenando várias ferramentas ou modelos para verificar resultados cruzados.

“Executamos modelos mais antigos na mesma base de código para ver se seríamos capazes de detectar as mesmas vulnerabilidades”, disse Kloc. “Conseguimos, tanto com os modelos mais antigos da OpenAI quanto da Anthropic.”

Outra empresa de segurança cibernética, CORREDORdescobriu que muitos dos principais resultados do Mythos poderiam ser reproduzidos usando modelos mais baratos trabalhando em paralelo – sugerindo que a escala e a coordenação eram mais importantes do que ter o modelo mais recente.

“Mil detetives adequados pesquisando em todos os lugares encontrarão mais bugs do que um detetive brilhante que precisa adivinhar onde procurar”, escreveu o fundador do AISLE, Stanislav Fort, em um weblog. publicar.

Em comentários à CNBC, a Anthropic não contestou que os modelos anteriores eram capazes de encontrar vulnerabilidades de software program.

Na verdade, disse um porta-voz da empresa, a Anthropic vem alertando há meses que as capacidades cibernéticas da IA ​​​​estão avançando rapidamente. Eles apontaram para um mês de fevereiro postagem no blog mostrando que Claude Opus 4.6, um modelo amplamente disponível, encontrou mais de 500 vulnerabilidades de “alta gravidade” em software program de código aberto.

No evento Antrópico desta semana, Amodei afirmou este ponto, dizendo que embora a escala de vulnerabilidades de software program encontradas pela Mythos tenha surgido em modelos anteriores, a tendência não period nova.

“Os riscos são muito reais. É por isso que tomamos as medidas que tomamos”, disse Amodei. “Mas eles também não são, em certo sentido, tão surpreendentes… Já faz algum tempo que temos visto avisos sobre isso.”

O que torna a Mythos diferente é a sua capacidade de dar o próximo passo, desenvolvendo explorações funcionais com pouca ou nenhuma intervenção humana, automatizando eficazmente um processo que anteriormente exigia investigadores qualificados, disse o porta-voz da Anthropic.

Mas os hackers que trabalham para grupos criminosos e nações adversárias já possuem esse conjunto de habilidades, dizem os pesquisadores cibernéticos. Hackers na Coreia do Norte, China e Rússia “sabem como fazer isso, com ou sem Antrópico”, disse Kloc.

A ameaça de hackers habilitados para IA deixou empresas e reguladores governamentais preocupados em proteger sistemas cruciais de uma nova onda de ransomware e outros tipos de ataques, de acordo com Harris.

Ele descreveu as conversas com bancos, seguradoras e reguladores nas últimas semanas como “histeria”.

Mesmo antes do advento da IA ​​generativa, as empresas enfrentavam o problema de hackers qualificados explorarem vulnerabilidades recém-descobertas em horas, enquanto a correção do código geralmente demorava dias ou semanas. Alguns patches exigem que os principais sistemas sejam colocados off-line, complicando as coisas.

“A indústria está em pânico com o número de vulnerabilidades que enfrenta agora”, disse Harris. “Mas mesmo antes de o Mythos estar amplamente disponível, ele não conseguia corrigir vulnerabilidades com rapidez suficiente.”

Antes, apenas uma pequena população de especialistas em todo o mundo tinha capacidade e tempo para encontrar vulnerabilidades obscuras em software program e explorá-las, de acordo com Harris. Agora, utilizando os modelos de IA atualmente disponíveis, as barreiras de entrada para causar estragos cibernéticos foram reduzidas.

Isso significa que os bancos e outros alvos sofrerão mais ataques, e que os sistemas de software program que anteriormente não atraíam tanto interesse dos cibercriminosos enfrentarão agora ameaças, disse Harris.

do JPMorgan Jamie Dimon sugeriu isso quando disse no mês passado que, embora as ferramentas de IA possam eventualmente ajudar as empresas a se defenderem de ataques cibernéticos, elas primeiro as tornam mais vulneráveis.

“Há um aumento significativo no volume de vulnerabilidades descobertas, mas eles não parecem ter implantado uma ferramenta que ajude a corrigi-las”, disse Justin Arenquesócio do escritório de advocacia Mayer Brown e ex-superintendente executivo adjunto de segurança cibernética do regulador financeiro de Nova York.

“O gerenciamento de vulnerabilidades é o grande Sísifo tarefa de segurança cibernética”, disse Herring.

O grupo limitado que fazia parte do lançamento inicial do Mythos teve uma vantagem inicial na correção de vulnerabilidades, mas há uma desvantagem. Os pesquisadores de IA não tiveram acesso ao Mythos para verificar de forma independente as afirmações da Anthropic ou para começar a construir defesas contra ela.

Alguns dizem que isso impediu que a comunidade cibernética mais ampla fizesse parte da solução.

Criou “níveis de ricos e despossuídos”, o que poderia retardar o ritmo da inovação em segurança cibernética, disse Pavel GurvichCEO da startup de segurança cibernética Tenzai, que usa modelos da Antrópica.

Muitas startups de segurança cibernética estão trabalhando em soluções que podem ajudar as empresas nesta nova period da IA, disse ele.

“Eles estão tentando descobrir a melhor maneira de consertar o mundo antes que isso se torne acessível ao mundo”, disse Ben Seri, cofundador da startup de segurança cibernética Zafran Safety. “É esse tipo de situação do ovo e da galinha, e você vai quebrar alguns ovos. É inevitável.”