Project Glasswing: o modelo de IA que achou um bug de 17 anos que ninguém viu
Anthropic treinou uma IA tão boa em achar falhas de segurança que decidiu não liberar o modelo. Mythos Preview encontrou milhares de vulnerabilidades. Project Glasswing junta Apple, Google, Microsoft, Nvidia.
A Anthropic treinou um modelo de IA tão bom em encontrar falhas de segurança que decidiu não liberá-lo para o público. Literalmente, o Claude Mythos Preview é um modelo que a própria criadora considera perigoso demais para ser aberto.
Em vez disso, a Anthropic montou o Project Glasswing, um consórcio com 12 empresas como AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike e o Linux Foundation. O modelo já está nas mãos de mais de 50 organizações, mas apenas para um propósito: encontrar e consertar vulnerabilidades antes que criminosos cibernéticos as explorem.
Os resultados são o tipo de coisa que soa como ficção científica. O Mythos Preview encontrou milhares de vulnerabilidades de alta gravidade. Em todos os sistemas operacionais principais. Em todos os navegadores. Sozinho, sem intervenção humana.
O caso mais emblemático: CVE-2026-4747. Uma vulnerabilidade de execução remota de código no FreeBSD que estava lá há 17 anos, desde 2009. O Mythos Preview não só encontrou o bug, como desenvolveu um exploit funcional que dá acesso root em qualquer máquina rodando NFS. Autonomamente. Nicholas Carlini, o pesquisador da Anthropic creditado na descoberta, usou o modelo como ferramenta, não como assistente.
Também encontrou um bug de 27 anos no OpenBSD, um de 16 anos no FFmpeg e cadeias de escalação de privilégio no kernel do Linux.
O pesquisador Patrick Garrity, da VulnCheck, escavou a base de dados de CVEs para entender o que Mythos Preview realmente encontrou até agora. Das 75 ocorrências com Anthropic na base, 35 são bugs nos próprios produtos da empresa (Claude Code, MCP Inspector, etc.), não contam. Das 40 restantes, 28 estão no Firefox, 9 na biblioteca wolfSSL, 1 no FreeBSD, 1 no NGINX e 1 no OpenSSL.
Só um CVE pode ser diretamente ligado ao Glasswing: o do FreeBSD. Os outros foram descobertos antes ou por outros times dentro da Anthropic. O quadro completo só será conhecido em julho de 2026, quando a empresa prometeu um relatório público consolidado.
Isso não diminui a história. Se uma IA encontrou uma vulnerabilidade que sobreviveu a 17 anos de revisão humana e milhões de testes automatizados, o que isso diz sobre a segurança do software que usamos todo dia?
Para a segurança cibernética, o jogo mudou. Até hoje, a grande vantagem dos atacantes era que eles precisavam encontrar uma única falha, enquanto os defensores precisavam tapar todas. O Mythos Preview inverte essa equação: pela primeira vez, os defensores têm uma ferramenta que escala mais rápido que os atacantes.
A Anthropic colocou US$ 100 milhões em créditos de uso do Mythos Preview e doou US$ 4 milhões para organizações de segurança open source. Não é caridade, é um sinal de que a escala do problema é muito maior do que o mercado processou.
Nenhuma empresa brasileira está no Project Glasswing. Como de costume, vamos descobrir o buraco quando a roda passar por cima.