Claude encontrou 10.000 falhas críticas num mês — patches ficaram para trás

Um modelo da Anthropic ainda não disponível ao público encontrou, num único mês, mais de dez mil vulnerabilidades de software de gravidade alta ou crítica, espalhadas pelo código de cerca de cinquenta organizações parceiras. O modelo, conhecido internamente como Claude Mythos Preview, foi apontado contra bibliotecas open source, navegadores e infraestrutura que sustenta uma parte considerável da internet moderna. O resultado inverte uma equação que vigorou durante décadas na segurança informática. Encontrar os bugs deixou de ser a parte difícil do trabalho. Agora a parte difícil é corrigi-los.

O programa chama-se Project Glasswing. A Anthropic lançou-o cerca de um mês antes de publicar esta primeira leva de números. Aproximadamente cinquenta organizações parceiras aceitaram pôr o modelo a varrer o seu próprio código de produção. A Cloudflare apontou-o aos seus sistemas críticos e regressou com cerca de dois mil reportes, quatrocentos deles classificados como elevados ou críticos. A Mozilla pô-lo a trabalhar contra o Firefox e fez emergir 271 falhas distintas para a próxima versão maior do navegador — mais de dez vezes o que a mesma equipa tinha conseguido produzir na versão anterior com o Claude Opus 4.6, o modelo público.

O que estes números significam depende do software que efectivamente se utiliza. O modelo descobriu uma falha de falsificação de certificados na wolfSSL, uma biblioteca de criptografia que vive dentro de milhares de milhões de routers domésticos, hubs de casa inteligente e controladores industriais. A vulnerabilidade tem agora um identificador CVE, CVE-2026-5194, e o patch está em distribuição. A mesma varredura sobre mais de mil projetos open source produziu cerca de 6.202 incidentes de gravidade alta ou crítica. Não são resultados académicos sobre bancos de teste de brincar. São bugs no código real que trata as suas ligações cifradas, as suas separadores do navegador e as máquinas do outro lado dos cabos.

Leitura recomendadaThe Lightless World”: Uma aventura RPG repleta de ação que se aproxima do acesso antecipado

O Mythos Preview não é uma versão do Claude que se possa comprar. A Anthropic optou por não a lançar publicamente. A empresa argumenta que o mesmo modelo que encontra vulnerabilidades a esta escala se tornaria, em mãos erradas, uma fábrica industrial de exploits. “Nenhuma empresa”, afirma o anúncio, “desenvolveu salvaguardas suficientemente robustas para impedir o uso indevido de modelos deste tipo.” Por agora, o Mythos Preview vive dentro de um programa controlado, com parceiros validados e um canal coordenado de divulgação.

Que tipo de bugs está o modelo a encontrar? Erros de gestão de memória em bibliotecas C e C++, falhas no tratamento de certificados como a da wolfSSL, erros de lógica em implementações de protocolos de rede e brechas de autenticação em serviços amplamente utilizados. São as categorias que originaram décadas de fugas reais. O UK AI Security Institute reporta que o Mythos Preview é o primeiro modelo testado a resolver de ponta a ponta as suas duas simulações de cyber range — ambientes controlados que imitam fluxos completos de ataque. A empresa independente XBOW descreveu o modelo como um “salto significativo” face a trabalho anterior, com aquilo a que chamou “uma precisão absolutamente sem precedentes”.

A pergunta seguinte, para quem já trabalhou com scanners automáticos, é quantos destes reportes são reais. Empresas de segurança independentes reviram 1.752 dos relatórios classificados como elevados ou críticos. Cerca de 90,6 por cento — 1.587 — confirmaram-se como vulnerabilidades legítimas. É um sinal muito mais limpo que a habitual taxa de ruído do fuzzing ou de ferramentas baseadas em padrões, e a Cloudflare comunicou que a taxa de falsos positivos do modelo, nos seus próprios testes, era melhor que a dos membros humanos da sua equipa de red team. Mas continua a significar que cerca de um em cada dez avisos é falso alarme. A esta escala, isso traduz-se em cerca de mil não-bugs no monte, cada um deles um relatório que um humano ainda tem de ler e descartar.

O problema mais duro é o que acontece depois de um bug real ser comunicado. À data desta primeira actualização, apenas 75 das 530 vulnerabilidades altas ou críticas reportadas aos manutentores estavam corrigidas. A correcção média leva cerca de duas semanas. Alguns manutentores open source, alegadamente sobrecarregados, pediram à Anthropic que abrandasse o ritmo de divulgações. “O progresso na segurança do software estava antes limitado pela velocidade a que conseguíamos encontrar novas vulnerabilidades”, escreve a empresa. “Agora está limitado pela velocidade a que conseguimos verificá-las, comunicá-las e corrigi-las.”

Para um utilizador comum, a conclusão prática não é glamorosa. O software que usa hoje, talvez o próprio navegador onde esta página carregou, contém quase de certeza bugs críticos que uma IA já conhece e que os humanos ainda não corrigiram. A divulgação coordenada parte do princípio de que o patch chega antes do anúncio público, e essa ordem só se mantém quando os patches chegam de facto a tempo. O Project Glasswing está, por agora, ancorado nos Estados Unidos e no Reino Unido. A Cloudflare, a Mozilla, o UK AI Security Institute e a XBOW são os participantes referidos. Não existe um programa equivalente de divulgação coordenada na maioria dos outros países. Se os bugs que o modelo encontra em stacks de software brasileiros, indianos, japoneses ou coreanos vão receber a mesma urgência continua a ser pergunta em aberto.

A Anthropic afirma que o Project Glasswing está a expandir-se a mais parceiros. O modelo Mythos Preview continua fora do mercado e a empresa não deu calendário para uma disponibilização pública; qualquer implantação mais ampla exigiria, segundo o seu próprio juízo actual, salvaguardas que ainda não existem. Uma segunda actualização é esperada mais tarde em 2026. A métrica a seguir não será quantos bugs uma IA consegue encontrar. Será quantos deles os humanos do outro lado tiveram tempo de corrigir.

Mais artigos semelhantes

A camada de identidade que a internet nunca teve está a ser construída agora, sob pressão sintética

Adeus ao Silício: China revela ‘LightGen’, o processador que usa a luz para desafiar a Nvidia e quebrar a barreira do calor

Uma falha de início de sessão deixou 70 milhões de sites cPanel abertos a qualquer pessoa

Samsung revela Edição Olímpica Galaxy Z Flip6 exclusiva, alimentada por Galaxy AI, para os atletas de Paris 2024

Torchlight: Infinite lança a 12.ª temporada três meses após o seu recorde histórico de jogadores

Samsung Expande Linha de PCs com IA: Novos Galaxy Book5 Pro e Galaxy Book5 360