No dia 7 de abril, a Anthropic anunciou o Project Glasswing, iniciativa com 12 empresas (entre elas Apple, Google, Microsoft, Amazon Web Services, NVIDIA, CrowdStrike e a Linux Foundation) para identificar e corrigir falhas de segurança em softwares que sustentam a infraestrutura digital global. O nome vem da borboleta glasswing, cujas asas transparentes a escondem à vista de todos, como as vulnerabilidades que sobrevivem por décadas em código usado ao redor do mundo.

No centro da iniciativa está o Claude Mythos, modelo de inteligência artificial que a Anthropic considera perigoso demais para disponibilizar abertamente. Segundo a empresa, o Claude Mythos já identificou milhares de vulnerabilidades zero-day (falhas desconhecidas pelos próprios desenvolvedores) em todos os principais sistemas operacionais e navegadores.

Três casos dimensionam o alcance. O modelo encontrou um bug de 27 anos no OpenBSD, sistema usado em firewalls e reconhecido por sua robustez. Detectou uma falha de 16 anos no FFmpeg, software de vídeo cujo código passou por 5 milhões de varreduras automatizadas sem que o problema aparecesse. E encadeou vulnerabilidades no kernel do Linux para demonstrar como um atacante poderia obter controle total de um servidor.

Quanto custa defender o software do mundo?

A Anthropic comprometeu até US$ 100 milhões em créditos de uso do modelo para os parceiros, além de US$ 4 milhões em doações para organizações de segurança de código aberto. Mais de 40 organizações que mantêm infraestrutura de software terão acesso ao Mythos Preview.

O modelo não foi treinado especificamente para cibersegurança. Na prática, suas capacidades derivam de habilidades avançadas em raciocínio e programação. Isso levanta uma questão incômoda: se um modelo feito para escrever código também encontra e explora falhas, o que impede que ferramentas semelhantes sejam usadas para atacar os mesmos softwares?

O paradoxo ofensivo-defensivo

O Project Glasswing expõe uma tensão que tende a se agravar. A mesma capacidade que permite corrigir falhas pode, em mãos erradas, ser usada para explorá-las. Elia Zaitsev, CTO da CrowdStrike, resumiu em comunicado: "O que antes levava meses agora acontece em minutos com IA". Jared Kaplan, diretor-científico da Anthropic, afirmou que as capacidades comparáveis devem surgir em outros modelos em breve.

Código aberto na linha de frente

Boa parte da infraestrutura digital global roda sobre software de código aberto, mantido por equipes pequenas sem orçamento para auditorias. Jim Zemlin, CEO da Linux Foundation, comentou que o projeto pode mudar essa dinâmica: "Segurança com IA pode se tornar um aliado acessível para todo mantenedor, não apenas para quem pode pagar equipes caras".

A corrida entre defensores e atacantes já começou, e a vantagem de tempo para os bem-intencionados é curta.