Tem medo de abrir a caixa de Pandora? O modelo mais poderoso da Anthropic até hoje não ousa ser divulgado

O código-fonte do OpenBSD apresenta uma vulnerabilidade com 27 anos. Existe uma vulnerabilidade no FFmpeg que já dura 16 anos, e esse trecho de código foi executado mais de 5 milhões de vezes antes de ser descoberto. As entidades que descobriram essas duas falhas não eram pesquisadores de ponta de nenhuma plataforma de recompensa por bugs, nem o Google Project Zero. Era o Anthropic, um modelo ainda não lançado publicamente, cujo nome de código era Claude Mythos Preview.

Em 7 de abril, a Anthropic anunciou o Projeto Glasswing. A ação em si era simples: compartilhar o Mythos Preview com uma lista de permissões. A lista incluía a AWS, a Apple, o Google, a Microsoft, a NVIDIA, a Broadcom, a Cisco, a CrowdStrike, o JPMorgan Chase, a Linux Foundation e a Palo Alto Networks, além de cerca de 40 instituições responsáveis por infraestruturas críticas. Quem não constava da lista não podia acessá-la. A Anthropic declarou explicitamente que não planeja divulgar publicamente esse modelo no curto prazo.

Esta é a primeira vez que o laboratório de ponta tomou a iniciativa de proteger seu maior patrimônio.

Nos últimos dois anos, o ritmo de lançamento tem sido quase automático. Cada salto geracional do GPT, do Gemini e do Claude seguiu um padrão de "lançamento, observação e correção". A “Política de Escalonamento Responsável” (RSP) da Anthropic é, essencialmente, um quadro de compromissos: atingir um determinado limite de capacidade, implementar as medidas de mitigação correspondentes e, em seguida, continuar com o lançamento. O Glasswing não é o próximo passo nessa estrutura, mas sim a primeira exceção. Um modelo que a própria Anthropic considerou “inadequado para divulgação de acordo com o processo original” foi selecionado e disponibilizado exclusivamente aos guardiões.

O que o Mythos Preview conseguiu? O comunicado oficial menciona "milhares de vulnerabilidades de dia zero, que afetam todos os principais sistemas operacionais e navegadores". Mais reveladora do que os números é a amplitude das capacidades. O Claude 4.6 Opus apresentou uma taxa de sucesso próxima de zero em tarefas como a detecção independente de vulnerabilidades. Em outras palavras, há apenas seis meses, o modelo público mais avançado da Anthropic não era capaz de fazer isso de forma alguma. O Mythos é capaz de encadear várias vulnerabilidades não relacionadas entre si para formar uma cadeia de ataque completa, sendo um exemplo comprovado uma exploração de navegador em quatro etapas. Passar de "quase zero" para uma "cadeia de quatro vulnerabilidades" não é um avanço gradual entre gerações, mas sim um salto.

Os mantenedores já perceberam isso. Tanto Greg Kroah-Hartman, do kernel do Linux, quanto Daniel Stenberg, autor do curl, afirmaram recentemente o mesmo: ao longo do último ano, os relatórios de segurança gerados por IA passaram de um nível de “spam” para um conteúdo “real, de alta qualidade e imperdível”. O número de relatórios recebidos pelos projetos de código aberto está aumentando, assim como sua qualidade, enquanto o número de mantenedores permanece o mesmo. Isso é algo com que a defesa vem lutando há muito tempo. As ações da Anthropic simplesmente trouxeram essa questão, que antes era uma vaga ansiedade, para o centro das atenções.

Vale a pena dar uma olhada na própria lista de permissões. A lista inclui as três principais plataformas de nuvem (AWS, Google, Microsoft), três empresas de hardware (Apple, NVIDIA, Broadcom), dois fabricantes de equipamentos de rede (Cisco, Palo Alto Networks), uma empresa de segurança de terminais (CrowdStrike), uma organização de infraestrutura de código aberto (Linux Foundation) e um banco. Há apenas um banco na lista, que é o JPMorgan Chase.

Esta não é uma distribuição aleatória de vagas. A Anthropic traçou um mapa do tipo “se isso cair, o céu desabará”. A grande maioria do código mundial é executada na infraestrutura dessas empresas, e a grande maioria do dinheiro mundial passa por uma delas. A lógica por trás da lista de permissões não é "quem mais precisa", mas "cuja queda afetará mais imediatamente a todos". Além dessa lista, a Anthropic destinou mais US$ 4 milhões a organizações de segurança de código aberto. O dinheiro proporciona recursos humanos, o modelo oferece capacidade e, juntos, eles resultam em uma coisa: dar aos mantenedores alguns meses.

A formulação da própria Anthropic é mais direta do que a lista de permissões. Em seu comunicado, a empresa afirma: “Dado o ritmo do desenvolvimento da IA, esse tipo de capacidade não permanecerá nas mãos daqueles que se dedicam à implantação de medidas de segurança a longo prazo.” Em seguida, há uma frase que diz: "A defesa da infraestrutura de rede global pode levar vários anos."

Juntando essas duas frases, a Anthropic conclui que o intervalo de tempo antes que o modelo seja divulgado ou replicado é curto, enquanto o intervalo de tempo para que os defensores corrijam as vulnerabilidades é longo. O cerne de Glasswing reside precisamente nessas duas disparidades temporais. Com uma primeira ação bem planejada, eles economizam de alguns meses a um ano de trabalho de correção.

Há também uma dimensão relacionada a Washington nessa questão. A Anthropic está mantendo discussões contínuas com o governo dos Estados Unidos sobre as funcionalidades do Mythos Preview. Ao mesmo tempo, a empresa tem um litígio pendente com os Estados Unidos. Departamento de Defesa sobre o âmbito de utilização da IA no âmbito militar. Por um lado, a empresa se recusa a utilizar o modelo para determinados fins militares; por outro lado, ela compartilha proativamente esse modelo com a Linux Foundation e a equipe de segurança da Apple. Essas duas ações não são contraditórias, mas constituem as duas faces de um mesmo julgamento. A Anthropic está definindo "para que esse modelo pode ser usado", em vez de deixar essa definição a cargo dos usuários.

O mais incomum sobre a Glasswing não é o que ela fez, mas quando ela fez isso. No passado, as empresas de IA provavam seu valor por meio de lançamentos. Agora, a Anthropic opta por provar seu valor por meio da "não divulgação". Um laboratório de ponta mantém seu produto mais poderoso em sigilo, não por motivos comerciais, não porque o alinhamento ainda não tenha sido concluído, nem por exigências regulatórias, mas porque calculou que o cronograma de lançamento público não consegue acompanhar o cronograma de correções.

O que vale a pena acompanhar nos próximos meses não é a prévia do Mythos em si, mas sim quantas vulnerabilidades foram corrigidas nas cerca de 50 instituições da lista de permissões que a executaram. O próximo passo a observar é se outros laboratórios de ponta seguirão o exemplo. Se isso acontecer, um setor que opera em um ritmo “aberto, iterativo e aberto” terá testemunhado sua primeira iniciativa do tipo “vamos fechar tudo e depois vemos”. Se não o fizerem, a Anthropic será quem estará à porta. Segurando a chave, olhando para o relógio.