A IA que descobriu falhas de décadas antes dos hackers

A Claude Mythos da Anthropic identificou milhares de vulnerabilidades zero-day em sistemas operativos e browsers — algumas com mais de 27 anos — e está a mudar as regras da cibersegurança.

Em abril de 2026, a Anthropic apresentou ao mundo o Claude Mythos Preview — um modelo de inteligência artificial tão poderoso que a própria empresa o considerou demasiado perigoso para ser lançado ao público em geral. Em poucas semanas de testes controlados, o sistema identificou milhares de vulnerabilidades zero-day em todos os principais sistemas operativos e browsers, incluindo uma falha com 27 anos no OpenBSD e outra com 16 anos no FFmpeg. O que parecia ficção científica transformou-se, subitamente, numa das discussões mais urgentes da cibersegurança global.

O que é o Claude Mythos e porque a Anthropic recusou lançá-lo publicamente

Ao contrário da maioria dos modelos de inteligência artificial que a Anthropic tem disponibilizado ao público, o Claude Mythos Preview foi mantido sob acesso estritamente controlado desde o seu anúncio, a 7 de abril de 2026. A razão é direta: o modelo demonstrou capacidades ofensivas em cibersegurança que ultrapassam qualquer coisa anteriormente vista num sistema de IA comercial.

O Mythos não se limita a identificar vulnerabilidades já conhecidas. É capaz de desenvolver exploits funcionais de forma autónoma, tendo conseguido reproduzir vulnerabilidades e criar exploits a funcionar na primeira tentativa em mais de 83% dos casos testados. Quando se traduz em linguagem prática, isso significa que uma ferramenta como esta pode reduzir para horas um trabalho que normalmente levaria uma equipa de especialistas humanos semanas ou meses.

A Anthropic foi clara na sua comunicação: o Mythos representa um salto qualitativo nas capacidades cibernéticas da IA, não uma evolução gradual. A decisão de não o disponibilizar publicamente reflete uma postura de responsabilidade que está a ser acompanhada de perto pela comunidade de segurança informática e por reguladores em todo o mundo, incluindo na Europa.

Falhas com décadas descobertas em semanas — o que isto significa na prática

Os números são, por si só, impressionantes. Em poucas semanas de acesso controlado, o Claude Mythos identificou milhares de vulnerabilidades zero-day em todos os principais sistemas operativos e em todos os grandes browsers. Entre as descobertas mais marcantes estão uma falha de 27 anos no OpenBSD — um sistema operativo historicamente considerado dos mais seguros do mundo — e uma vulnerabilidade de 16 anos no FFmpeg, uma das bibliotecas de processamento de vídeo mais utilizadas globalmente.

O que torna estas descobertas ainda mais perturbadoras é o facto de estas falhas terem sobrevivido a décadas de revisão humana e a milhões de testes automatizados. Não foram descobertas por falta de esforço: os melhores especialistas do sector passaram anos a auditar exatamente estes sistemas. O Mythos conseguiu encontrar o que os humanos não conseguiram — e fê-lo a uma velocidade que muda fundamentalmente a equação da IA em cibersegurança.

Para as empresas e organizações que utilizam este software — o que inclui praticamente toda a infraestrutura digital do mundo — esta realidade levanta questões urgentes sobre quantas outras falhas semelhantes ainda existem, à espera de ser descobertas, seja por sistemas defensivos como o Mythos, seja por agentes maliciosos com acesso a ferramentas cada vez mais poderosas.

Project Glasswing: a coligação que quer corrigir antes de ser tarde

Para gerir o enorme potencial e os riscos igualmente enormes do Mythos, a Anthropic criou o Project Glasswing — uma coligação de empresas tecnológicas e organizações de segurança que receberam acesso privilegiado ao modelo, com o objetivo explícito de usar as suas capacidades para defender sistemas críticos antes que vulnerabilidades semelhantes possam ser exploradas por atacantes.

A coligação inclui nomes como AWS, Apple, Microsoft, Google, CrowdStrike e Palo Alto Networks, além de aproximadamente 40 outras organizações. A lógica é simples: se uma IA com estas capacidades vai inevitavelmente existir, é preferível que os defensores a utilizem primeiro, corrigindo as falhas antes que atores maliciosos desenvolvam ferramentas equivalentes.

O modelo está já a produzir resultados concretos. As vulnerabilidades identificadas no OpenBSD e no FFmpeg foram entretanto corrigidas. Para as empresas incluídas no Glasswing, o acesso ao Mythos representa uma vantagem estratégica significativa na corrida permanente entre atacantes e defensores que define a cibersegurança moderna.

A IA como arma de dois gumes — e a crise de “histeria” que se seguiu

A revelação das capacidades do Mythos gerou o que meios como a CNBC descreveram como uma autêntica “histeria” nos sectores bancário e de seguros. A preocupação não é infundada: se uma IA pode descobrir e explorar vulnerabilidades de décadas em software crítico, o que acontece quando ferramentas com capacidades semelhantes chegam às mãos de grupos criminosos ou de Estados com recursos para desenvolvê-las?

Os especialistas em cibersegurança dividem-se na interpretação. Para alguns, o Mythos representa uma aceleração sem precedentes do risco cibernético, ao tornar a descoberta de vulnerabilidades mais barata, mais rápida e menos dependente de talento humano escasso. Para outros, a questão relevante não é se este tipo de IA vai existir — é quem a vai controlar e com que fins.

A avaliação independente do UK AI Safety Institute (AISI) ao Mythos Preview confirmou as preocupações: as capacidades cibernéticas do modelo são suficientemente avançadas para justificar o acesso restrito. Este tipo de avaliação externa, feita por organismos regulatórios, é precisamente o modelo que a União Europeia tem estado a construir com o AI Act, tornando este debate particularmente relevante para Portugal e para o espaço europeu.

O que muda para empresas e utilizadores comuns

Para o utilizador comum, o impacto imediato do Claude Mythos é indireto: as vulnerabilidades corrigidas graças ao Project Glasswing traduzem-se em sistemas mais seguros nos browsers, sistemas operativos e aplicações que todos usamos diariamente. Neste sentido, a existência do Mythos — mesmo que inacessível — tem um efeito positivo real na segurança digital coletiva.

Para as empresas, a mensagem é mais complexa. A capacidade de descoberta de vulnerabilidades por IA está a democratizar-se rapidamente, mesmo que o Mythos em concreto permaneça restrito. Ferramentas menos avançadas mas com capacidades semelhantes estão a chegar ao mercado, o que significa que a janela de tempo entre a descoberta de uma vulnerabilidade e a sua exploração está a encolher. Investir em cibersegurança proativa, em auditorias regulares e em parceiros de segurança com acesso a inteligência de ameaças atualizada deixou de ser opcional.

A história do Claude Mythos é, em última análise, uma história sobre a velocidade a que a inteligência artificial está a mudar o equilíbrio de poder em domínios críticos — e sobre a responsabilidade que acompanha esse poder. A Anthropic fez uma escolha deliberada ao não lançar o modelo publicamente, preferindo uma abordagem controlada que prioriza a defesa sobre a ofensa. Se esta abordagem será suficiente à medida que a IA se torna mais poderosa e mais acessível é a questão central que vai definir a cibersegurança na próxima década. Para Portugal, como para qualquer país europeu integrado na infraestrutura digital global, estar atento a estes desenvolvimentos não é apenas uma questão técnica — é uma questão de soberania e segurança nacional.