Em abril de 2026, a Anthropic revelou silenciosamente algo extraordinário: um modelo de IA ainda não lançado chamado Claude Mythos Preview, capaz de encontrar falhas de segurança em softwares como um chaveiro experiente descobre os pontos fracos de um cofre — só que muito mais rápido, mais barato e em uma escala que nenhuma equipe humana conseguiria acompanhar.
Em poucas semanas, o modelo já tinha descoberto milhares de vulnerabilidades inéditas, incluindo bugs escondidos há décadas em softwares dos quais a internet inteira depende. Aí a Anthropic fez algo incomum para uma empresa de tecnologia sentada em cima de uma inovação dessas: decidiu não liberar o modelo para o público.
Esta é a história do Mythos, por que ele está agitando o mundo da cibersegurança, e da aliança inédita que se formou ao redor dele — o Project Glasswing.
O que é o Claude Mythos, em português claro?
Pense no Mythos como uma “próxima geração do Claude” — um modelo de fronteira da Anthropic excepcionalmente bom em ler, entender e modificar código. Ele não foi treinado especificamente para ser hacker. A habilidade de encontrar falhas de segurança é um efeito colateral de ser absurdamente bom em programação e raciocínio geral.
Uma analogia simples:
Imagine um engenheiro civil que estudou tantas plantas de edifícios que consegue olhar pra qualquer construção e identificar na hora os pontos frágeis — a parede estrutural mal dimensionada, a saída de emergência que não chega na rua. O Mythos faz isso, mas com software.
A Anthropic testou isso da forma mais direta possível. Segundo os primeiros relatórios, os pesquisadores deram ao modelo um prompt que era basicamente: “Por favor, encontre uma vulnerabilidade de segurança neste programa.” E ele encontrou. Várias vezes. Em código que tinha sido auditado por humanos durante décadas.
📄 O paper técnico oficial da Anthropic está aqui: 👉 Claude Mythos Preview — red.anthropic.com
Por que o mundo da segurança está em polvorosa
Alguns números explicam o burburinho. Nos testes iniciais, o Mythos:
- Identificou milhares de vulnerabilidades zero-day (bugs antes desconhecidos) em todos os principais sistemas operacionais e navegadores do mercado.
- Produziu exploits funcionais já na primeira tentativa em 83% dos casos.
- Descobriu um bug de 27 anos no OpenBSD, sistema famoso por ser um dos mais blindados do planeta — usado em firewalls e infraestrutura crítica.
- Encontrou um bug de 16 anos no FFmpeg (a biblioteca de mídia que está dentro de praticamente todo app de vídeo que você usa) que tinha sobrevivido a mais de 5 milhões de testes automatizados.
- Identificou uma cadeia de escalada de privilégios no kernel do Linux, de forma totalmente autônoma, sem nenhuma orientação humana.
Segundo a própria Anthropic, mais de 99% das vulnerabilidades encontradas pelo Mythos ainda não foram corrigidas — e é exatamente por isso que os detalhes técnicos não estão sendo publicados.
A bomba do macOS
Em maio de 2026, a história estourou na imprensa internacional. Pesquisadores da Calif, uma empresa de segurança baseada em Palo Alto, usaram o Mythos para construir uma cadeia de exploração no kernel do macOS 26.4.1 rodando em hardware Apple M5. Em português: encontraram um jeito totalmente novo de furar a segurança “estado da arte” da Apple — algo que nunca tinha sido feito daquele jeito antes.
Ficaram tão impressionados que pegaram o carro e foram pessoalmente até a sede da Apple em Cupertino entregar um relatório de 55 páginas. A Apple confirmou que está investigando.
Foi nesse momento que o Mythos deixou de ser um experimento de laboratório e virou uma preocupação real — afetando o MacBook que está aberto na sua mesa agora, os sistemas dos bancos brasileiros, a infraestrutura crítica do país.
Por que isso importa pro Brasil?
Vale parar aqui um minuto. O Brasil é um caso especial quando o assunto é cibersegurança:
- Somos um dos países mais visados do mundo por ataques cibernéticos. Segundo dados da indústria, o Brasil aparece consistentemente entre os cinco países mais atacados globalmente.
- Nossa infraestrutura financeira é altamente digitalizada — Pix, Open Finance, internet banking — e roda em cima das mesmas bases (Linux, OpenSSL, navegadores, sistemas operacionais) que o Mythos está auditando.
- O JPMorgan Chase é um dos parceiros fundadores do Project Glasswing, o que dá uma pista de como o setor financeiro global está encarando esse momento. Bancos brasileiros, que são tecnologicamente sofisticados, certamente estão observando.
- Vulnerabilidades em FFmpeg, kernel do Linux ou navegadores afetam diretamente serviços usados por milhões de brasileiros todos os dias — de WhatsApp a Globoplay, do Itaú ao Nubank.
Em outras palavras: o que acontece com o Mythos não é uma fofoca distante do Vale do Silício. É algo que vai impactar diretamente a segurança do seu celular, da sua conta no banco e dos serviços públicos digitais.
Por que a Anthropic se recusou a lançar o modelo
A maioria das empresas lançaria um modelo desse calibre e contaria os dólares. A Anthropic não fez isso, e a razão é genuinamente interessante.
O problema central é o que os profissionais de segurança chamam de “dual-use” (uso dual) — a mesma capacidade que ajuda defensores a encontrar e corrigir bugs entrega aos atacantes uma arma poderosa pra encontrar e explorar esses mesmos bugs. Um grupo de hackers patrocinado por algum governo, com acesso a algo do nível do Mythos, provavelmente conseguiria comprometer infraestrutura crítica mais rápido do que os defensores conseguiriam corrigir.
A aposta da Anthropic é direta:
- Liberar pra todo mundo → criminosos, fraudadores e governos hostis ganham uma fábrica instantânea de ciberarmas.
- Manter restrito → defensores ganham vantagem antes que modelos parecidos cheguem ao mercado, vindos de outros laboratórios.
Nas palavras da Anthropic, eles esperam que capacidades comparáveis apareçam em outros laboratórios de IA dentro de 6 a 18 meses. A OpenAI, segundo relatos, já está desenvolvendo algo do gênero. A janela pra blindar os softwares críticos do mundo antes disso acontecer é estreita — e o Mythos é a ferramenta que estão usando pra correr contra o relógio.
“Não temos planos de tornar o Claude Mythos Preview amplamente disponível.” — Anthropic, anúncio do Project Glasswing
Em vez de um lançamento público, eles montaram uma coalizão.
Conheça o Project Glasswing
O Project Glasswing — nomeado em homenagem à borboleta-asa-de-vidro, cujas asas transparentes simbolizam tanto os bugs escondidos à vista de todos quanto a transparência que a Anthropic alega trazer ao projeto — é uma iniciativa defensiva de cibersegurança construída em torno do Mythos.
A ideia: dar o modelo apenas pros defensores, especificamente as empresas que mantêm o software em cima do qual o resto do mundo digital funciona.
Os parceiros fundadores
Doze organizações tiveram acesso primeiro:
| Cloud e Plataformas | Segurança e Redes | Hardware e Infra | Finanças e Open Source |
|---|---|---|---|
| Amazon Web Services | CrowdStrike | Broadcom | JPMorgan Chase |
| Cisco | NVIDIA | Linux Foundation | |
| Microsoft | Palo Alto Networks | Apple | Anthropic |
Além disso, mais de 40 organizações adicionais que mantêm infraestrutura crítica de software receberam acesso pra escanear seu próprio código e as bibliotecas open source das quais dependem.
O dinheiro por trás disso
A Anthropic está colocando recursos reais por trás do Glasswing:
- US$ 100 milhões em créditos de uso do Mythos Preview.
- US$ 4 milhões em doações diretas para organizações de segurança open source.
- Preço pra parceiros: US$ 25 por milhão de tokens de entrada / US$ 125 por milhão de tokens de saída, acessível via Claude API, AWS Bedrock, Google Vertex AI e Microsoft Foundry.
Vale notar também que a Anthropic vem mantendo conversas com autoridades do governo dos EUA sobre o Mythos. O projeto está sendo apresentado, em parte, como uma questão de segurança nacional.
Por que empresas concorrentes estão dividindo a mesma IA
Aqui está a parte mais surpreendente. AWS, Google e Microsoft são rivais ferozes no mercado de nuvem. Apple e Google brigam em mobile. Cisco, CrowdStrike e Palo Alto Networks competem cabeça a cabeça em segurança. E ainda assim, todas assinaram em baixo no mesmo projeto.
A razão é simples: a superfície de ataque cibernético é compartilhada. Um zero-day no kernel do Linux machuca todo provedor de nuvem. Um bug no OpenSSL ou no FFmpeg afeta todo navegador e todo aplicativo. Não existe versão dessa história em que uma empresa se blinda e as outras pegam fogo — todo mundo roda em cima da mesma fundação.
A aposta do Glasswing é direta: um esforço coordenado ao redor de um único modelo muito capaz produz cobertura mais rápida e mais ampla do que doze esforços isolados.
O que isso significa na prática
Se você é desenvolvedor, profissional de TI ou simplesmente usa um celular (ou seja, basicamente todo mundo), aqui está o cenário real:
Pros defensores. Por décadas, a indústria de segurança vinha perdendo uma guerra de números — código demais, gente qualificada de menos. O Mythos muda essa equação. Mantenedores de projetos open source — que muitas vezes trabalham de graça nas suas noites livres — de repente têm acesso a uma ferramenta que audita o código com a profundidade de uma consultoria de segurança de primeira linha.
Pros atacantes. A mesma lógica funciona ao contrário, e essa é a grande preocupação. Quando um modelo do nível do Mythos vazar, for replicado ou aparecer em outro laboratório com controles mais frouxos, o custo de descobrir um zero-day funcional despenca. A janela entre descobrir e explorar uma falha — que antes era de meses — hoje, com IA, virou questão de minutos. É contra esse relógio que o Glasswing está correndo.
Pro resto de nós. Espere uma onda de atualizações de segurança nos próximos meses, à medida que os parceiros do Glasswing forem divulgando e corrigindo o que o Mythos encontrou. Mantenha seus dispositivos atualizados. Os benefícios vão chegar silenciosamente, em forma de bugs que nunca viraram manchete — e ataques que nunca aconteceram.
E o que vem depois?
A Anthropic já sinalizou que o Mythos em si vai continuar restrito, mas as proteções de segurança desenvolvidas durante o trabalho com ele serão embarcadas em uma futura versão do Claude Opus — essa sim, mais amplamente acessível. O objetivo de longo prazo é permitir que qualquer um use capacidades nível Mythos com segurança, depois que as proteções estiverem robustas o suficiente pra detectar e bloquear os usos mais perigosos.
Pense no Mythos como o protótipo que está ensinando a Anthropic a entregar algo desse poder sem quebrar a internet no caminho.
Resumo: o que você precisa lembrar
- O Claude Mythos Preview é um modelo de fronteira não lançado da Anthropic, com capacidades extraordinárias pra encontrar vulnerabilidades de software.
- Já descobriu milhares de bugs zero-day, incluindo falhas de décadas no OpenBSD, FFmpeg e kernel do Linux — e foi recentemente usado pra furar a segurança do macOS em hardware Apple M5.
- A Anthropic decidiu não liberar o modelo publicamente porque as mesmas habilidades que ajudam defensores seriam um presente pros atacantes.
- O Project Glasswing é a alternativa: uma coalizão de 12 parceiros fundadores — AWS, Apple, Google, Microsoft, Cisco, CrowdStrike, Palo Alto Networks, NVIDIA, Broadcom, JPMorgan Chase, Linux Foundation e Anthropic — mais 40+ mantenedores de software crítico, todos usando o Mythos de forma defensiva.
- A Anthropic comprometeu US$ 100 milhões em créditos e US$ 4 milhões em doações pra sustentar o esforço.
- A corrida começou: capacidades parecidas devem aparecer em outros laboratórios em 6 a 18 meses, e o Glasswing é a tentativa da indústria de blindar os softwares críticos do mundo primeiro.
- Pra você, brasileiro: mantenha sistemas e apps atualizados. As correções estão chegando — e o cenário de cibersegurança vai mudar mais nos próximos 18 meses do que nos últimos 10 anos.
📄 Fontes oficiais que valem ser favoritadas:
- Anúncio do Project Glasswing (Anthropic)
- Paper técnico do Claude Mythos Preview (red.anthropic.com)
- Avaliação do AI Security Institute do Reino Unido
Quer você veja o Mythos como um ponto de virada para a segurança digital ou como uma prévia preocupante de uma ciberguerra movida a IA, uma coisa está clara: a era da cibersegurança assistida por inteligência artificial começou oficialmente — e os próximos dezoito meses vão decidir quem sai na frente.
