Claude Mythos: por que a Anthropic não publica o seu modelo mais potente

Jorge García

Tecnea

Claude Mythos: por que a Anthropic não publica o seu modelo mais potente

A 7 de abril, a Anthropic fez algo pouco habitual na história recente da inteligência artificial: anunciou que não vai publicar o seu modelo mais avançado até nova ordem. Chama-se Claude Mythos Preview, encontra vulnerabilidades em software que estavam ocultas há até 27 anos e é capaz de construir exploits complexos sem supervisão humana. Boa parte da imprensa noticiou-o com títulos que falam de "terror" e "nova era de ameaças cibernéticas".

Acreditamos que é uma notícia importante, sim, mas não assustadora. É, acima de tudo, lógica. E esconde duas lições muito úteis para qualquer empresa que ainda esteja a pensar se deve integrar IA nos seus processos ou esperar para ver o que acontece.

Um Peixe a Nadar no Oceano

Peixe solitário a nadar entre correntes de código luminoso — metáfora da IA no seu elemento natural A IA não é uma intrusa no mundo do software. É um peixe no seu oceano.

Coloquemo-lo numa imagem simples. A informática é o meio onde nasce e vive a inteligência artificial.

Os modelos como o Claude não são turistas neste mundo: são peixes no seu oceano. Cresceram a ler biliões de linhas de código, documentação técnica, incidentes de segurança e análise forense. Raciocinam sobre software como um peixe nada: de forma natural.

Os humanos passaram décadas a encontrar vulnerabilidades em sistemas informáticos com muito esforço e resultados notáveis. Somos criativos e ambiciosos, mas temos limites biológicos: não processamos milhões de tokens por segundo, não nos lembramos de todos os CVE publicados, não conseguimos ler o código do OpenBSD do início ao fim numa sessão.

Quando uma inteligência artificial que consegue fazer tudo isso se depara com código, o resultado é previsível: encontrará falhas. Muitas. Algumas que levavam décadas por descobrir, não porque ninguém as procurasse, mas porque escapavam ao que um humano consegue abranger numa vida profissional.

Que isto aconteça não é uma anomalia nem um presságio apocalíptico. É o que acontece quando um peixe atravessa o oceano: não é um feito, é o seu elemento.

O que é Exatamente o Claude Mythos

Para além do nome, o que a Anthropic fez foi medir as capacidades do modelo em tarefas reais de cibersegurança e publicar os resultados. Os dados são concretos e vale a pena vê-los sem dramatismo:

No benchmark de cibersegurança CyberGym, o Mythos Preview alcançou 83,1%, contra 66,6% do Claude Opus 4.6, o modelo público atual. Um salto de quase 17 pontos em poucos meses.
Em testes autónomos de desenvolvimento de exploits para Firefox, o Mythos conseguiu 181 exploits bem-sucedidos em 191 tentativas. O Opus 4.6, o modelo disponível para todos, mal chegava a 2 acertos em várias centenas de tentativas.
O modelo encontrou uma vulnerabilidade no OpenBSD relacionada com o tratamento de números de sequência TCP que levava 27 anos por descobrir, e outra no codec H.264 do FFmpeg com 16 anos de antiguidade.
De forma autónoma, construiu um exploit de execução remota de código para FreeBSD (CVE-2026-4747) que envolve uma cadeia ROP de 20 gadgets distribuída por múltiplos pacotes de rede.

A equipa técnica da Anthropic explica que estas capacidades "emergiram como efeitos secundários de melhorias gerais no raciocínio sobre código". Não treinaram o modelo para fazer hacking. Melhoraram a sua compreensão geral do código e a capacidade de encontrar falhas chegou por si só.

Mais de 99% das vulnerabilidades descobertas pelo Mythos continuam por corrigir hoje. A Anthropic usa commitments criptográficos SHA-3 para provar que as encontrou sem revelar detalhes, respeitando o processo padrão de disclosure responsável com os fabricantes (até 135 dias).

Uma Empresa que Age com Bom Senso

Doze nós luminosos interligados formando uma rede de defesa — representação do Project Glasswing Project Glasswing: 12 empresas fundadoras, mais de 40 organizações, um objetivo comum — defender antes de atacar.

Face a essas capacidades, a Anthropic tomou uma decisão que nos parece simplesmente sensata: não publicar o modelo de forma geral até existirem salvaguardas adequadas e, em vez disso, dar acesso restrito a um grupo concreto de organizações que o possam usar para defender os seus sistemas. Esse grupo, batizado de Project Glasswing, inclui 12 empresas fundadoras:

Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, a Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks e a própria Anthropic. Mais de 40 organizações adicionais que mantêm software crítico também receberam acesso.

É a primeira vez em muito tempo que hiperscaladores cloud, bancos sistémicos, fabricantes de hardware, guardiões do kernel Linux e empresas de cibersegurança se alinham numa mesma iniciativa técnica. Normalmente competem entre si. O facto de todos terem aceitado sem hesitar sugere que as suas equipas de segurança reconhecem que o risco é real e preferem antecipar-se aos atacantes que inevitavelmente chegarão.

A Anthropic compromete 100 milhões de dólares em créditos de uso do modelo para os participantes, mais 4 milhões em doações à Apache Software Foundation e aos projetos de segurança open source Alpha-Omega e OpenSSF. Os participantes, por sua vez, comprometem-se a publicar relatórios a cada 90 dias sobre as descobertas e melhorias que conseguirem.

Isto não é alarmismo. É responsabilidade industrial. Uma empresa com um produto potencialmente perigoso e uma coligação para o usar defensivamente antes de ser imitado. É precisamente o que esperaríamos de qualquer fabricante responsável em qualquer outro setor — farmacêutica, aeronáutica, energia — quando descobre algo com potencial de uso dual.

A Parte que Quase Ninguém Está a Contar

Mãos profissionais a rever documentos em papel enquanto um ecrã de IA permanece sem uso em segundo plano Muitas empresas continuam a fazer manualmente o que a IA já consegue fazer hoje. Não é um problema tecnológico: é cultural.

É aqui que o artigo deixa de falar do Mythos e começa a falar da sua empresa.

Se o Claude Mythos é tão bom a encontrar vulnerabilidades é porque as suas capacidades de raciocínio sobre código deram um salto grande. Mas esse salto não é exclusivo do Mythos. É a mesma tendência que melhorou o Claude Sonnet 4.6 e o Claude Opus 4.6, os modelos públicos que pode usar agora mesmo com qualquer subscrição empresarial. É a mesma tendência que melhorou o GPT e o Gemini.

E aqui está o paradoxo que quase ninguém está a apontar: enquanto as manchetes se alarmam com o que um modelo restrito consegue fazer em cibersegurança, a maioria das empresas ainda não está a aproveitar a ínfima fração dessas capacidades que têm disponíveis hoje para tarefas infinitamente mais simples do que encontrar um bug no OpenBSD.

Muitas empresas continuam a:

Redigir manualmente documentação comercial que é 80% padrão
Ler relatórios de 100 páginas para extrair cinco conclusões
Consolidar dados de Excel para Excel manualmente
Procurar cláusulas em contratos uma por uma
Responder a emails repetitivos que um assistente bem configurado resolveria em segundos
Preparar atas, propostas, cadernos de encargos e apresentações sem o apoio de um sistema de IA que conheça o seu contexto

Se um modelo consegue encontrar uma vulnerabilidade de 27 anos no OpenBSD, que desculpa tem uma empresa para não lhe pedir que redija um primeiro rascunho de uma proposta comercial, analise um caderno de encargos ou resuma uma reunião de duas horas?

A resposta, na nossa experiência, não é técnica. É cultural. É inércia. É medo. É a dificuldade das equipas em imaginar que uma ferramenta diferente exige uma forma diferente de trabalhar. É a distância entre o que a tecnologia já consegue fazer e o que estamos realmente a adotar no dia a dia.

O que Isto Significa para uma Empresa em 2026

A próxima fase do Regulamento Europeu de IA (EU AI Act) entra em plena aplicação a 2 de agosto de 2026, dentro de menos de quatro meses desde este artigo. Para sistemas classificados como de alto risco exigem-se auditorias automatizadas, requisitos específicos de cibersegurança, gestão contínua de riscos e documentação técnica formal.

As maiores empresas do mundo estão a unir-se agora para se preparar. O Project Glasswing não é um exercício académico: é o reconhecimento explícito de que a cibersegurança na era da IA exige usar IA. E as 12 empresas fundadoras têm muito claro algo que as empresas de média dimensão ainda estão a debater internamente: não há alternativa a integrar a IA de forma séria, com governança, na base operacional do negócio.

Não é urgência de pânico. É urgência serena. A vantagem competitiva dos próximos anos não será para as empresas que esperem que "a IA amadureça". Será para as que já tenham os seus processos desenhados para a aproveitar quando as novas ondas de capacidades chegarem — e chegarão de poucos em poucos meses, tal como o Mythos chegou uns meses depois do Opus 4.6.

O que Fica Claro

O Claude Mythos não é uma ameaça, é um sinal. A Anthropic demonstrou que uma empresa pode descobrir capacidades poderosas e agir com responsabilidade em vez de as implementar por impacto mediático. O Project Glasswing demonstra que a defesa requer coordenação, e que a coordenação é possível quando a ameaça é reconhecida por quem sabe.

E por trás de toda a notícia há uma mensagem muito mais pragmática para o resto de nós: as capacidades que hoje permitem a um modelo encontrar bugs impossíveis também permitem automatizar boa parte do trabalho repetitivo de uma empresa média. Não amanhã. Não no próximo ano. Hoje. Com modelos públicos. Com ferramentas acessíveis.

A pergunta deixa de ser "A IA é segura?" e passa a ser "Estou a aproveitar o que já está disponível ou estou à espera de ser ultrapassado?". Na Tecnea passamos anos a acompanhar empresas a responder a essa pergunta com projetos reais de integração, com a vontade serena de mudar os processos que precisam e o critério para saber quais não precisam.

Perguntas Frequentes

O que é exatamente o Claude Mythos Preview? É um modelo de fronteira desenvolvido pela Anthropic que demonstrou capacidades sem precedentes para encontrar e explorar vulnerabilidades em software. A Anthropic decidiu não publicá-lo de forma geral por precaução e, em vez disso, está a dar acesso restrito a um grupo de organizações que o usarão para defender infraestrutura crítica.

É perigoso que o Claude Mythos exista? As capacidades que demonstra fazem parte da evolução natural dos modelos de IA: quanto melhor raciocinam sobre código, melhor encontram falhas nesse código. Não é uma arma construída propositadamente — é um efeito secundário do progresso geral. A Anthropic optou por restringir o seu uso precisamente para evitar que caia em mãos que não o usem de forma responsável.

O que é o Project Glasswing e quem participa? É uma coligação liderada pela Anthropic com 12 empresas fundadoras (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks e Anthropic) e mais de 40 organizações adicionais que mantêm software crítico. O seu objetivo é identificar e corrigir vulnerabilidades na infraestrutura digital mundial usando o Claude Mythos como ferramenta defensiva.

Como afeta isto uma empresa em 2026? A aplicação plena do Regulamento Europeu de IA começa a 2 de agosto de 2026, com requisitos específicos de auditoria e cibersegurança para sistemas classificados como alto risco. Para além do cumprimento normativo, o caso do Mythos mostra que as capacidades dos modelos públicos (Claude, GPT, Gemini) já são suficientes para transformar muitas tarefas empresariais repetitivas. A pergunta para cada empresa não é se deve integrar IA, mas com que estratégia e que urgência.