Project Glasswing, iniciativa defensiva da Anthropic que dá acesso antecipado ao Claude Mythos Preview para cerca de 50 parceiros, já ajudou a identificar mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares importantes; parte dessas descobertas foi validada, resultou em correções upstream e avisos de segurança, e até evitou uma transferência bancária fraudulenta, ao mesmo tempo em que levanta debates sobre ciclos de correção mais rápidos e a necessidade de salvaguardas antes de liberar modelos similares ao público.
A Anthropic divulgou que o Project Glasswing ajudou a encontrar mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares amplamente usados.
O projeto oferece a cerca de 50 parceiros acesso antecipado ao Claude Mythos Preview, um modelo capaz de identificar vulnerabilidades de forma autônoma.
Segundo a empresa, 6.202 dessas falhas foram classificadas como de alta ou crítica e afetam mais de 1.000 projetos open source.
Análises subsequentes validaram 1.726 verdadeiros positivos, com até 1.094 avaliados como de alta ou crítica severidade.
Um dos casos destacados foi uma falha crítica no WolfSSL (CVE-2026-5194, CVSS 9.1) que poderia permitir a falsificação de certificados e a personificação de serviços legítimos.
Até o momento, as ações relacionadas às descobertas resultaram em 97 correções aplicadas upstream e 88 avisos de segurança emitidos.
“The relative ease of finding vulnerabilities compared with the difficulty of fixing them amounts to a major challenge for cybersecurity,”
a Anthropic acrescentou que enfrentar esse desafio deve tornar o software muito mais seguro.
A crescente onda de descobertas assistidas por IA tem feito fornecedores enviarem mais correções, e a Microsoft observou que o número de patches mensais deve continuar aumentando.
A plataforma ofensiva autônoma XBOW descreveu o Mythos Preview como um avanço significativo, superior a modelos anteriores na identificação de candidatos a vulnerabilidades e na análise de código com foco em segurança.
Relatórios recentes também indicam que o modelo é eficaz em transformar vulnerabilidades em cadeias de ataque de ponta a ponta.
Além de localizar falhas, um parceiro do Glasswing — um banco — usou o modelo para detectar e impedir uma transferência fraudulenta de US$ 1,5 milhão após um invasor acessar o e-mail de um cliente e falsificar chamadas.
Diante da possibilidade de modelos com capacidades semelhantes se tornarem amplamente disponíveis, a Anthropic tem pedido que desenvolvedores encurtem seus ciclos de correção, citando, por exemplo, a Oracle passando a adotar um ciclo mensal de patches.
A empresa também lançou um Cyber Verification Program, que permite a profissionais de segurança utilizar seus modelos sem guardrails para pesquisa legítima de vulnerabilidades, testes de penetração e red teaming.
Modelos como o Mythos Preview e o GPT-5.5-Cyber ainda não foram liberados publicamente por preocupações relacionadas a salvaguardas contra uso indevido em larga escala.
O Glasswing é apresentado como uma vantagem assimétrica para defensores de infraestrutura crítica, ao mesmo tempo em que reforça a necessidade de que organizações reforcem suas defesas de forma ampla.
Esses desenvolvimentos mostram o potencial da IA para acelerar a descoberta de falhas e, igualmente, os desafios de gestão e mitigação que vêm com esse poder.
