O anúncio do Project Glasswing, da Anthropic, evidencia uma mudança estrutural no cenário de cibersegurança: a capacidade de descoberta de vulnerabilidades por inteligência artificial já supera, com folga, a capacidade de correção do ecossistema. O modelo usado pelo projeto, Mythos, já identificou falhas críticas em sistemas amplamente auditados, incluindo vulnerabilidades históricas, além de encadear exploits complexos e automatizar técnicas avançadas de ataque com alta taxa de sucesso.

Detalhes interessantes sobre o Projeto Glasswing

• O Modelo Mythos: O projeto utiliza o Claude Mythos Preview, um modelo altamente avançado (atingindo 93.9% no SWE-bench) capaz de encontrar autonomamente vulnerabilidades do tipo zero-days em sistemas operacionais.

• Consórcio de Segurança: A iniciativa reúne cerca de doze grandes empresas de tecnologia e infraestrutura para colaborar na avaliação de riscos e aplicação de correções. Figuram nesta lista empresas como a Microsoft, Google, Apple, Linux Foundation, AWS (Amazon), etc.

• Descoberta de Falhas Antigas: O Mythos demonstrou capacidade de detectar vulnerabilidades com décadas de existência (ex: falhas de 27 anos) que passaram batidas por revisões humanas.

• Acesso Restrito: Devido ao seu alto poder de detecção de falhas, o modelo não foi disponibilizado ao público geral, sendo restrito às empresas que fazem parte do projeto, para o desenvolvimento de correções.

Quando encontrar falhas deixa de ser o problema?

Diante do risco imediato, o acesso à tecnologia foi restrito a grandes empresas para mitigação prévia das falhas. Ainda assim, menos de 1% das vulnerabilidades identificadas foram corrigidas, evidenciando um descompasso crítico entre descoberta e remediação.

O problema central não está mais em encontrar falhas, mas em tratá-las com velocidade compatível. O que antes era um desafio técnico virou um gargalo operacional.

Velocidade humana vs. velocidade de máquina

Enquanto defensores operam em ciclos de dias, atacantes já utilizam IA para conduzir ataques autônomos em escala e em tempo quase real, reduzindo drasticamente o tempo entre divulgação e exploração de vulnerabilidades.

Casos recentes mostram ataques totalmente automatizados comprometendo milhares de organizações simultaneamente. Paralelamente, sistemas autônomos já superam humanos na identificação de falhas e exploração, indicando que a tendência é de ampliação desse gap.

O modelo atual começa a quebrar

Programas tradicionais de segurança — baseados em testes periódicos, priorização genérica (como CVSS) e fluxos manuais de correção — tornam-se insuficientes nesse novo cenário. Quando o volume de vulnerabilidades cresce de forma exponencial, processos lineares simplesmente não acompanham.

O que muda na prática: validar antes de correr para corrigir

Como resposta, ganha força uma abordagem baseada em validação contínua, contextualizada ao ambiente e com ciclos automatizados de detecção, priorização e remediação.

Mais do que saber se uma falha é crítica em teoria, o foco passa a ser entender se ela é explorável naquele ambiente específico, naquele momento.

A métrica que realmente importa agora

A principal conclusão é direta: a eficácia da segurança cibernética não será mais medida pela quantidade de vulnerabilidades descobertas, mas pela capacidade de validá-las e corrigi-las antes que sejam exploradas.

Sem isso, o avanço da IA tende a transformar a atual superfície de ataque em um cenário de risco massivo, contínuo e cada vez mais difícil de conter.

Créditos:

https://thehackernews.com/2026/04/project-glasswing-proved-ai-can-find.html