Project Glasswing: a IA já encontra vulnerabilidades em escala. E agora?

Há avanços tecnológicos que chegam ao mercado com entusiasmo, campanhas de lançamento e promessas de produtividade. E há outros que chegam acompanhados de uma pergunta muito mais desconfortável: será que isto é demasiado poderoso para estar disponível a qualquer pessoa?

O Claude Mythos, apresentado pela Anthropic em abril de 2026, pertence claramente ao segundo grupo. Trata-se de um modelo de Inteligência Artificial desenvolvido para identificar e analisar vulnerabilidades em sistemas digitais com um nível de profundidade muito superior ao das ferramentas tradicionais. Mas o detalhe mais relevante não está apenas nas suas capacidades. Está na decisão da Anthropic de não o disponibilizar publicamente, limitando o acesso devido ao risco de utilização indevida.

Durante anos, habituámo-nos a olhar para a Inteligência Artificial como uma tecnologia de apoio: ajuda a escrever, resume documentos, automatiza tarefas, acelera processos. Mas o Claude Mythos mostra-nos outra realidade. A IA já não é apenas uma ferramenta auxiliar. Está a entrar em domínios críticos onde pode alterar equilíbrios inteiros, neste caso, o equilíbrio entre defesa e ataque em cibersegurança. O Mythos não se limita a procurar falhas conhecidas. O modelo consegue analisar código, arquitetura e interdependências entre sistemas, identificando fragilidades que podem ter passado despercebidas durante anos. Mais importante ainda: consegue compreender como determinadas vulnerabilidades podem ser exploradas e, em alguns casos, gerar provas de conceito funcionais.

Este é o ponto de viragem. Porque uma coisa é descobrir uma vulnerabilidade. Outra é perceber como explorá-la. Historicamente, esse caminho exigia tempo, conhecimento especializado e análise humana. Com modelos como o Mythos, essa distância pode encurtar drasticamente. E quando a distância entre descoberta e exploração diminui, o tempo disponível para as empresas reagirem também diminui.

É aqui que o tema deixa de ser apenas técnico e passa a ser estratégico. A Anthropic criou o Project Glasswing precisamente como uma forma controlada de aplicar estas capacidades. Em vez de disponibilizar o Mythos ao público, deu acesso restrito a organizações selecionadas, incluindo empresas tecnológicas, instituições financeiras e operadores de infraestruturas críticas, com o objetivo de identificar vulnerabilidades antes que possam ser exploradas de forma maliciosa.

E os resultados são impressionantes. Segundo a Anthropic, em colaboração com cerca de 50 parceiros, o Claude Mythos Preview ajudou a encontrar mais de dez mil vulnerabilidades de severidade elevada ou crítica em software essencial.

Mas, para mim, o número não é a parte mais importante. A parte mais importante é a conclusão que daí resulta: o problema da cibersegurança está a mudar de sítio.

Durante muito tempo, o grande desafio era encontrar vulnerabilidades. Agora, com IA capaz de acelerar essa descoberta, o verdadeiro gargalo passa a ser outro: validar, priorizar, corrigir e aplicar patches antes que a falha seja explorada. A própria Anthropic reconhece que o progresso na segurança do software deixou de estar limitado pela velocidade com que se encontram vulnerabilidades e passou a estar limitado pela velocidade com que se consegue verificá-las, comunicá-las e corrigi-las.

Esta mudança deve preocupar qualquer gestor. Porque muitas empresas continuam a funcionar com processos lentos, inventários incompletos, atualizações adiadas e planos de resposta pouco testados. Num mundo em que a descoberta de vulnerabilidades é acelerada por IA, essa lentidão deixa de ser apenas ineficiência. Passa a ser uma vulnerabilidade.

A decisão de restringir o Claude Mythos mostra que nem toda a inovação deve ser tratada como um produto pronto a escalar. Há tecnologias que exigem contenção, governação e responsabilidade. E talvez essa seja uma das discussões mais importantes dos próximos anos: não apenas o que a IA consegue fazer, mas quem a deve poder usar, em que contexto e com que mecanismos de controlo.

Ao mesmo tempo, as empresas não podem usar essa discussão como desculpa para esperar. A IA vai continuar a acelerar a cibersegurança, tanto do lado defensivo como do lado ofensivo. Modelos capazes de encontrar vulnerabilidades, interpretar código e sugerir formas de exploração vão tornar o ciclo de risco mais curto. E isso significa que a margem para improviso será cada vez menor.

A pergunta já não é apenas: “temos vulnerabilidades?” Todas as empresas têm. A pergunta certa é: quando essas vulnerabilidades forem descobertas, conseguimos agir a tempo? Agir a tempo significa conhecer os ativos, saber que software está em uso, gerir dependências, aplicar patches com disciplina, proteger acessos, monitorizar sistemas, testar backups e garantir continuidade de negócio. Significa deixar de tratar a cibersegurança como uma tarefa técnica e passar a encará-la como uma condição essencial de resiliência.

O Claude Mythos é um aviso. Mostra-nos que a Inteligência Artificial já tem capacidade para mudar profundamente a forma como os riscos digitais são identificados.  No fim, a vantagem não estará em quem recebe mais alertas. Estará em quem consegue transformar informação em ação antes que uma vulnerabilidade se transforme numa crise.