O que revela o Project Glasswing da Anthropic?

A cibersegurança está a entrar numa nova fase. Durante anos, um dos grandes desafios das equipas técnicas foi encontrar vulnerabilidades antes que fossem exploradas por atacantes. Hoje, com o avanço dos modelos de inteligência artificial, esse equilíbrio começa a mudar: encontrar falhas está a tornar-se mais rápido, mais barato e mais escalável. O verdadeiro desafio passa a ser outro, conseguir validar, divulgar e corrigir essas vulnerabilidades a tempo.

É neste contexto que surge o Project Glasswing, uma iniciativa da Anthropic criada para proteger software crítico antes que modelos de IA cada vez mais capazes possam ser usados de forma maliciosa. O projeto envolve cerca de 50 parceiros e utiliza o Claude Mythos Preview, um modelo especializado em tarefas avançadas de cibersegurança. Segundo a Anthropic, em apenas algumas semanas, o modelo ajudou a identificar mais de 10.000 vulnerabilidades de severidade alta ou crítica em software considerado essencial para o funcionamento da internet e de outras infraestruturas críticas.

O que é o Project Glasswing?

O Project Glasswing é uma iniciativa colaborativa entre a Anthropic e organizações que desenvolvem ou mantêm software de grande importância sistémica. Como explica a empresa no artigo oficial sobre o projeto, o objetivo é usar IA para encontrar vulnerabilidades antes que estas possam ser exploradas por atacantes.

A ideia central é simples: se a IA já consegue acelerar a descoberta de falhas, então deve ser usada primeiro para reforçar a defesa. O problema é que esta capacidade também cria novos riscos. Modelos cada vez mais avançados podem reduzir drasticamente o tempo necessário para encontrar e explorar vulnerabilidades. Por isso, a Anthropic defende que a indústria precisa de se preparar para um volume muito maior de falhas identificadas por IA.

Mais de 10.000 vulnerabilidades encontradas

Um dos resultados mais relevantes do artigo é a escala das descobertas. Com o apoio do Claude Mythos Preview, a Anthropic e os seus parceiros identificaram mais de 10.000 vulnerabilidades de severidade alta ou crítica em software sistemicamente importante.

Depois de apenas um mês de utilização, vários parceiros indicaram que a sua capacidade de encontrar bugs aumentou mais de dez vezes. A Cloudflare, por exemplo, encontrou 2.000 bugs, dos quais 400 foram classificados como de severidade alta ou crítica. A empresa considerou ainda que a taxa de falsos positivos era melhor do que a obtida por testadores humanos.

Outros testes externos também reforçam a relevância do modelo. O UK AI Security Institute reportou que o Mythos Preview foi o primeiro modelo a resolver de ponta a ponta os seus dois cyber ranges, ou seja, simulações de ataques cibernéticos em várias etapas. A Mozilla encontrou e corrigiu 271 vulnerabilidades no Firefox 150 durante testes com o Mythos Preview, mais de dez vezes o número encontrado anteriormente no Firefox 148 com o Claude Opus 4.6. Já a plataforma independente XBOW descreveu o modelo como um avanço significativo face a outros modelos em benchmarks de exploração web.

O impacto no software open source

A Anthropic também aplicou o Mythos Preview à análise de software open-source. Nos últimos meses, o modelo foi usado para analisar mais de 1.000 projetos open-source, muitos dos quais servem de base à internet e à própria infraestrutura tecnológica da Anthropic.

Os números são expressivos: o Mythos Preview identificou uma estimativa de 23.019 vulnerabilidades no total, incluindo falhas de severidade baixa, média, alta e crítica. Dentro desse conjunto, 6.202 foram estimadas como vulnerabilidades de severidade alta ou crítica.

Dessas vulnerabilidades de maior severidade, 1.752 já foram avaliadas cuidadosamente por seis empresas independentes de investigação em segurança ou, em alguns casos, pela própria Anthropic. O resultado dessa triagem foi significativo: 90,6%, ou seja, 1.587 vulnerabilidades, foram confirmadas como verdadeiros positivos. Além disso, 62,4%, correspondentes a 1.094 falhas, foram confirmadas como sendo efetivamente de severidade alta ou crítica.

Com base nestas taxas, a Anthropic estima que, mesmo que o Mythos Preview não encontre mais nenhuma vulnerabilidade, o trabalho já realizado está no caminho para revelar quase 3.900 vulnerabilidades de severidade alta ou crítica em código open-source.

O caso da wolfSSL

O artigo destaca um exemplo concreto: uma vulnerabilidade encontrada na wolfSSL, uma biblioteca open-source de criptografia usada por milhares de milhões de dispositivos em todo o mundo.

O Mythos Preview conseguiu construir um exploit que permitiria a um atacante forjar certificados digitais. Na prática, isso poderia permitir a criação de um site falso de um banco ou de um fornecedor de email que pareceria legítimo para o utilizador, apesar de estar controlado por um atacante. A vulnerabilidade foi, entretanto, corrigida e recebeu o identificador CVE-2026-5194.

Este exemplo mostra bem o tipo de risco que está em causa: não se trata apenas de pequenos erros técnicos, mas de falhas que podem afetar sistemas de confiança fundamentais para a segurança digital.

Encontrar é mais fácil. Corrigir continua difícil.

Apesar dos resultados impressionantes, o artigo deixa claro que o maior desafio não está apenas na descoberta das vulnerabilidades. Pelo contrário: com IA, encontrar falhas tornou-se muito mais simples. O problema está na capacidade humana de validar, comunicar, corrigir e aplicar patches.

A Anthropic explica que o processo de triagem é exigente. Primeiro, a vulnerabilidade tem de ser reproduzida e a sua severidade reavaliada. Depois, é necessário perceber se já existe uma correção, preparar um relatório detalhado e comunicar com os responsáveis pelo software. Este processo é ainda mais sensível no mundo open-source, onde muitos projetos dependem de maintainers voluntários e já sobrecarregados.

Segundo o artigo, alguns maintainers chegaram mesmo a pedir à Anthropic para abrandar o ritmo das divulgações, por precisarem de mais tempo para preparar correções. Em média, uma vulnerabilidade de severidade alta ou crítica encontrada pelo Mythos Preview demora duas semanas a ser corrigida.

Resultados no processo de divulgação e correção

A Anthropic indica que já reportou 1.129 bugs não avaliados previamente, a pedido dos maintainers. Desses, o Mythos Preview estimou que 175 eram de severidade alta ou crítica.

No total, a empresa estima já ter divulgado 530 bugs de severidade alta ou crítica aos maintainers. Existem ainda 827 vulnerabilidades confirmadas, também estimadas como altas ou críticas, que a Anthropic pretende divulgar o mais rapidamente possível.

Dos 530 bugs já reportados, 75 foram corrigidos e 65 receberam advisories públicos. A Anthropic reconhece que este número ainda é relativamente baixo, mas explica que há três razões principais: muitas falhas ainda estão dentro da janela de divulgação coordenada de 90 dias, algumas correções podem já ter sido feitas sem advisory público, e o ecossistema de segurança está, de facto, sobrecarregado com o volume de vulnerabilidades descobertas.

A indústria já está a acelerar os patches

O artigo também mostra sinais de que algumas grandes empresas estão a acelerar a resposta a vulnerabilidades. A Palo Alto Networks incluiu numa versão recente mais de cinco vezes o número habitual de patches. A Microsoft indicou que o número de novos patches deverá continuar a aumentar durante algum tempo. A Oracle, por sua vez, está a encontrar e corrigir vulnerabilidades nos seus produtos e cloud várias vezes mais rápido do que antes.

O Mythos Preview também foi usado noutros contextos de segurança. Num dos bancos parceiros do Glasswing, o modelo ajudou a detetar e impedir uma transferência fraudulenta de 1,5 milhões de dólares, depois de um atacante comprometer a conta de email de um cliente e realizar chamadas telefónicas falsas.