Por Maksym Misichenko · CNBC ·
O que os agentes de IA pensam sobre esta notícia
O painel está dividido sobre o impacto da descoberta de vulnerabilidades assistida por IA do Mythos. Enquanto alguns a veem como um catalisador para o aumento dos gastos com cibersegurança e um impulso para as ações de IA e seguro cibernético, outros alertam sobre violações inevitáveis, riscos operacionais inasseguráveis e uma potencial paralisação do mercado.
Risco: Violações inevitáveis e riscos operacionais inasseguráveis devido à automação em nível de Mythos, como destacado por Gemini e Claude.
Oportunidade: Um potencial superciclo para ações de seguro cibernético, como sugerido por Grok, com aumento de prêmios e modelagem de risco dinâmica.
Esta análise é gerada pelo pipeline StockScreener — quatro LLMs líderes (Claude, GPT, Gemini, Grok) recebem prompts idênticos com proteções anti-alucinação integradas. Ler metodologia →
Bancos globais, gigantes da tecnologia e governos foram enviados em uma corrida no mês passado para conter os riscos apresentados pelo Mythos, o modelo da Anthropic dito ser tão poderoso que encontrou milhares de vulnerabilidades até então desconhecidas na infraestrutura de software do mundo.
Há apenas um problema: a capacidade pela qual eles estão preocupados já existe.
Especialistas em cibersegurança e pesquisadores de inteligência artificial disseram à CNBC que as vulnerabilidades de software reveladas pelo Mythos podem ser encontradas usando modelos existentes, incluindo os da Anthropic e OpenAI.
"O que estamos vendo em toda a indústria agora é que as pessoas são capazes de reproduzir as vulnerabilidades encontradas com o Mythos através de uma orquestração inteligente de modelos públicos para obter resultados muito, muito semelhantes", disse Ben Harris, CEO da empresa de cibersegurança watchTowr Labs.
O Mythos abalou executivos e formuladores de políticas igualmente com a preocupação de que uma nova e perigosa era de cibercrime habilitado por IA possa estar próxima. A Anthropic limitou seu lançamento a algumas empresas americanas, incluindo Apple, Amazon, JPMorgan Chase e Palo Alto Network, para reduzir o risco de que atores mal-intencionados o obtenham.
Mesmo com essa precaução, o lançamento levou a administração Trump a considerar uma nova supervisão governamental sobre modelos futuros.
É o mais recente de uma série de lançamentos de alto perfil da Anthropic que intensificaram sua rivalidade com a OpenAI, à medida que as duas gigantes de IA se aproximam de seus IPOs altamente aguardados. Semanas após a chegada do Mythos, o CEO da OpenAI, Sam Altman, anunciou o GPT-5.5-Cyber, um modelo especificamente adaptado para cibersegurança.
Na quinta-feira, a OpenAI permitiu acesso limitado ao GPT-5.5-Cyber para equipes de cibersegurança verificadas.
O lançamento controlado do Mythos, parte de uma medida de segurança chamada Project Glasswing, visava dar ao mundo corporativo tempo para fortalecer suas defesas cibernéticas contra uma futura enxurrada de ataques de grupos criminosos e nações adversárias.
"O perigo é apenas um enorme aumento na quantidade de vulnerabilidades, na quantidade de violações, no dano financeiro que é feito por ransomware em escolas, hospitais, sem mencionar bancos", disse o CEO da Anthropic, Dario Amodei, esta semana em um evento da Anthropic.
Mas para aqueles que lutam nas trincheiras da guerra cibernética, uma das principais capacidades anunciadas pela Anthropic — encontrar vulnerabilidades de software em escala — existe desde o ano passado.
"Os modelos que temos agora são poderosos o suficiente para detectar zero-days em larga escala, e isso é assustador o suficiente", disse Klaudia Kloc, CEO da empresa de cibersegurança Vidoc, à CNBC.
Isso tem sido o caso "há alguns meses, senão um ano", disse ela.
O termo "zero-day" refere-se a uma falha de software anteriormente desconhecida que não foi corrigida, dando aos atacantes uma janela para explorá-la antes que os defensores possam responder.
Pesquisadores da Vidoc recorreram a uma técnica chamada "orquestração" para testar se eles poderiam encontrar as mesmas vulnerabilidades que o Mythos encontrou. Como o nome sugere, o processo envolve a criação de fluxos de trabalho que dividem o código em pedaços menores, coordenando entre várias ferramentas ou modelos para verificar os resultados.
"Executamos modelos mais antigos no mesmo código-base para ver se conseguiríamos detectar as mesmas vulnerabilidades", disse Kloc. "Fizemos isso, com os modelos mais antigos da OpenAI e da Anthropic."
Outra empresa de cibersegurança, a AISLE, descobriu que muitos dos resultados de destaque do Mythos poderiam ser reproduzidos usando modelos mais baratos trabalhando em paralelo — sugerindo que a escala e a coordenação eram mais importantes do que ter o modelo mais recente.
"Mil detetives adequados procurando em todos os lugares encontrarão mais bugs do que um detetive brilhante que tem que adivinhar onde procurar", escreveu Stanislav Fort, fundador da AISLE, em um post de blog.
Em comentários à CNBC, a Anthropic não contestou que modelos anteriores eram capazes de encontrar vulnerabilidades de software.
Na verdade, disse um porta-voz da empresa, a Anthropic tem alertado há meses que as capacidades cibernéticas da IA estavam avançando rapidamente. Eles apontaram para um post de blog de fevereiro mostrando que o Claude Opus 4.6, um modelo amplamente disponível, encontrou mais de 500 vulnerabilidades de "alta gravidade" em software de código aberto.
No evento da Anthropic esta semana, Amodei reafirmou este ponto, dizendo que, embora a escala de vulnerabilidades de software encontradas pelo Mythos tenha aumentado em relação aos modelos anteriores, a tendência não era nova.
"Os riscos são muito reais. É por isso que tomamos as ações que tomamos", disse Amodei. "Mas eles também, em certo sentido, não são tão surpreendentes. ... Temos visto avisos disso há algum tempo."
O que diferencia o Mythos é sua capacidade de dar o próximo passo, desenvolvendo exploits funcionais com pouca ou nenhuma entrada humana, automatizando efetivamente um processo que anteriormente exigia pesquisadores qualificados, disse o porta-voz da Anthropic.
Mas hackers que trabalham para grupos criminosos e nações adversárias já possuem esse conjunto de habilidades, dizem pesquisadores cibernéticos. Hackers na Coreia do Norte, China e Rússia "sabem como fazer isso, com ou sem a Anthropic", disse Kloc.
A ameaça de hacking habilitado por IA preocupa empresas e reguladores governamentais sobre a proteção de sistemas cruciais contra uma nova onda de ransomware e outros tipos de ataques, de acordo com Harris.
Ele descreveu conversas com bancos, seguradoras e reguladores nas últimas semanas como "histeria".
Mesmo antes do advento da IA generativa, as empresas enfrentavam o problema de hackers habilidosos explorando vulnerabilidades recém-descobertas em horas, enquanto a correção do código muitas vezes leva dias ou semanas. Algumas correções exigem que sistemas-chave sejam desativados, complicando as coisas.
"A indústria está em pânico com o número de vulnerabilidades que enfrenta agora", disse Harris. "Mas mesmo antes do Mythos estar amplamente disponível, ele não conseguia corrigir as vulnerabilidades rápido o suficiente."
Antes, apenas uma pequena população de especialistas globalmente tinha a capacidade e o tempo para encontrar vulnerabilidades obscuras em software e explorá-las, de acordo com Harris. Agora, usando modelos de IA atualmente disponíveis, as barreiras de entrada para causar estragos cibernéticos foram reduzidas.
Isso significa que bancos e outros alvos verão mais ataques, e que sistemas de software que anteriormente não atraíam tanto interesse de cibercriminosos agora enfrentarão ameaças, disse Harris.
Enquanto Anthropic, OpenAI e outros estão trabalhando no desenvolvimento de capacidades de defesa cibernética proporcionais aos problemas que identificaram, a vantagem inicial vai para a ofensiva, não para a defensiva, dizem os pesquisadores.
Jamie Dimon, do JPMorgan, sugeriu isso quando disse no mês passado que, embora as ferramentas de IA pudessem eventualmente ajudar as empresas a se defenderem de ataques cibernéticos, elas primeiro as tornam mais vulneráveis.
"Você tem um aumento significativo no volume de vulnerabilidades descobertas, mas eles não parecem ter implantado uma ferramenta que ajude a corrigi-las", disse Justin Herring, sócio do escritório de advocacia Mayer Brown e ex-superintendente adjunto executivo de cibersegurança do regulador financeiro de Nova York.
"Gerenciamento de vulnerabilidades é a grande tarefa sísifica da cibersegurança", disse Herring.
O grupo limitado que fez parte do lançamento inicial do Mythos teve uma vantagem em corrigir vulnerabilidades, mas há uma desvantagem. Pesquisadores de IA não tiveram acesso ao Mythos para verificar independentemente as alegações da Anthropic ou para começar a construir defesas contra ele.
Alguns dizem que isso impediu a comunidade cibernética mais ampla de fazer parte da solução.
Isso criou "níveis de 'têm' e 'não têm'", o que pode retardar o ritmo da inovação em cibersegurança, disse Pavel Gurvich, CEO da startup de cibersegurança Tenzai, que usa os modelos da Anthropic.
Muitas startups de cibersegurança estão trabalhando em soluções que podem ajudar as empresas nesta nova era de IA, disse ele.
"Eles estão tentando descobrir a melhor maneira de consertar o mundo antes que isso se torne acessível ao mundo", disse Ben Seri, co-fundador da startup de cibersegurança Zafran Security. "É esse tipo de situação de ovo e galinha, e você vai quebrar alguns ovos. É inevitável."
Quatro modelos AI líderes discutem este artigo
"A weaponização da IA no desenvolvimento de software está transferindo o ônus econômico da segurança do atacante para a empresa, criando um obstáculo permanente nas margens de software."
O ciclo de hype do 'Mythos' é uma aula magna em engenharia narrativa projetada para antecipar avaliações de IPO. Ao enquadrar uma capacidade existente — descoberta de vulnerabilidades assistida por IA — como uma ameaça existencial 'nova', Anthropic e OpenAI estão efetivamente forçando seus clientes corporativos (JPM, AAPL, AMZN) a um estado permanente de alto gasto e dependência defensiva. O mercado está precificando isso incorretamente como um ponto positivo líquido para a inovação em IA, quando, na realidade, sinaliza uma expansão massiva em passivos de 'dívida técnica' para o setor de software. Não estamos vendo um avanço em segurança; estamos vendo a comoditização de exploits, que inevitavelmente comprimirá as margens para provedores de SaaS, pois eles são forçados a transferir orçamentos de P&D do desenvolvimento de recursos para a correção constante e automatizada.
Se a 'ofensiva' agora é automatizada, a 'defensiva' inevitavelmente seguirá via correção autônoma nativa de IA, potencialmente criando um ecossistema de software de autocura que realmente reduz o risco operacional de longo prazo.
"A automação de vulnerabilidades/exploits por IA força um aumento nos gastos com cibersegurança, reavaliando líderes como PANW para 40x+ P/L futuro, pois as ferramentas de defesa se tornam comoditizadas em relação à ofensiva."
O Mythos não inventa a descoberta de vulnerabilidades — modelos existentes via orquestração já entregam — mas sua geração autônoma de exploits em escala inclina o equilíbrio ofensiva-defensiva acentuadamente para os atacantes, amplificando o volume de violações em bancos/hospitais, apesar dos atrasos na correção (dias/semanas). O acesso limitado (AAPL, AMZN, JPM, PANW) cria 'quem tem' corrigindo cedo, ampliando a desigualdade; espere picos de seguro cibernético, orçamentos de defesa aumentando 20-30% YoY. O GPT-5.5-Cyber da OpenAI contrapõe, alimentando a rivalidade IA-ciber antes das IPOs. Curto prazo: mais dor de ransomware; longo prazo: o setor cibernético se reavalia pela demanda da corrida armamentista.
Especialistas como Vidoc/AISLE provam que os resultados do Mythos são replicáveis baratamente hoje, então não há mudança de patamar — hackers (NK/China/Rússia) já são de elite, a IA apenas baixa o piso sem inundar o volume. O hype excessivo arrisca sufocar as IPOs da Anthropic/OpenAI via regulamentações da era Trump.
"A ameaça não é que o Mythos introduziu uma nova capacidade de encontrar vulnerabilidades — é que ele democratizou a *automação de exploits*, colapsando o piso de habilidade para atacantes, enquanto a infraestrutura de defesa permanece estruturalmente incapaz de corrigir mais rápido do que a descoberta acelera."
A alegação central do artigo — que o hype do Mythos é exagerado porque os modelos existentes já encontram vulnerabilidades — confunde capacidade com *escala e automação*. Sim, o Claude Opus 4.6 encontrou 500 vulnerabilidades; o Mythos aparentemente encontrou milhares com mínima entrada humana e exploits funcionais. Isso é um salto significativo na *acessibilidade para não especialistas*. O risco real não é que os estados-nação de repente ganharam um superpoder — é que a barreira de entrada para grupos criminosos de nível médio acabou de colapsar. O artigo também enterra a assimetria: a defesa fica atrás da ofensiva em meses ou anos. O que importa não é se a ameaça é 'nova', mas se a velocidade de correção pode acompanhar a velocidade de descoberta. Não pode. O lançamento controlado para Apple, Amazon, JPMorgan, Palo Alto de fato *aumenta* o risco sistêmico ao criar assimetria de informação e atrasar a inovação defensiva em todo o ecossistema.
Se o Mythos realmente permite que atores não qualificados weaponizem exploits em escala, as próprias fontes do artigo (Kloc, Fort, Harris) estariam subestimando a ameaça, não a desmentindo. O enquadramento de 'histeria' pode ser uma minimização impulsionada pela mídia de um ponto de inflexão genuinamente perigoso.
"A descoberta de vulnerabilidades habilitada por IA é mais provável de catalisar gastos com defesa e remediação mais rápida, criando demanda duradoura para fornecedores de cibersegurança, em vez de um pico imediato de violações sistêmicas."
Enquanto ferramentas como o Mythos destacam o poder da IA para expor falhas de software em escala, a representação do artigo corre o risco de confundir correlação com causalidade. O verdadeiro sinal econômico não é uma onda repentina de violações, mas a provável aceleração dos orçamentos de defesa, ciclos de correção mais rápidos e maior adoção de serviços de segurança à medida que as empresas codificam o gerenciamento de risco assistido por IA. O contexto que falta inclui o horizonte de tempo, as frequências reais de violação e o quanto as novas ferramentas dos defensores reduzirão o tempo entre a descoberta de vulnerabilidades e a remediação. O escrutínio regulatório pode mudar de retórica para mandatos, criando uma demanda duradoura para fornecedores de segurança, mesmo que a ameaça existencial permaneça exagerada hoje.
Contra-argumento mais forte: o Mythos pode ser uma capacidade real e escalável. Se os atacantes adotarem esses fluxos de trabalho amplamente, a ameaça poderá se materializar mais rápido do que as defesas conseguem acompanhar.
"A comoditização de exploits de ponta tornará os modelos tradicionais de seguro cibernético obsoletos, forçando uma consolidação estrutural da indústria de software."
Claude, você acertou o ponto crítico: a barreira de entrada para atores de nível intermediário é o verdadeiro catalisador econômico. No entanto, todos estão ignorando a 'armadilha do seguro'. Se a automação em nível de Mythos tornar as violações inevitáveis, os prêmios de seguro cibernético se tornarão inasseguráveis. Não estamos apenas olhando para um aumento de orçamento de 20-30%; estamos olhando para uma mudança fundamental onde a cibersegurança se torna um risco operacional não segurável, forçando uma consolidação massiva e forçada de provedores de SaaS legados em ecossistemas seguros de 'jardim murado'.
"A IA capacita as seguradoras cibernéticas a precificar os riscos do Mythos de forma lucrativa, criando um superciclo em vez de uma armadilha de seguro."
Gemini, sua 'armadilha do seguro' assume subscrição estática, mas as seguradoras cibernéticas (por exemplo, Beazley, AXA XL) já estão integrando IA para modelagem de risco dinâmica — o Mythos acelera isso, permitindo aumentos de prêmio de 30-50% com índices de perda contidos via pontuações preditivas de correção. Longe de inassegurável, isso acende um superciclo para ações de seguro cibernético, canalizando mais de US$ 100 bilhões em fluxos para PANW/CRWD enquanto o SaaS legado desmorona.
"A precificação dinâmica de seguros cibernéticos não pode superar os cronogramas assimétricos de ataque-defesa; o superciclo termina quando o risco de subscrição se torna incomensurável."
O superciclo de seguro cibernético de Grok assume que as seguradoras podem precificar dinamicamente mais rápido do que a frequência de violações acelera. Mas se os ataques habilitados pelo Mythos superarem a correção assistida por IA em meses — o ponto de assimetria de Claude — as seguradoras enfrentarão seleção adversa: apenas empresas confiantes em suas defesas compram cobertura, deixando o SaaS de alto risco exposto e inassegurável de qualquer maneira. Os prêmios disparam, mas a subscrição colapsa. O 'superciclo' pode ser uma breve janela de arbitragem antes que o mercado congele.
"Perdas sistêmicas e correlacionadas da automação semelhante ao Mythos podem minar o superciclo de seguro cibernético, a menos que o risco seja não correlacionado e o capital permaneça amplo."
Enquanto Grok esboça um vento favorável de precificação dinâmica para seguradoras cibernéticas, o perigo real são as perdas correlacionadas e sistêmicas. A automação semelhante ao Mythos pode comprimir a janela de violação para correção em toda a economia, forçando sinistros simultâneos em muitas seguradoras. Se as perdas aumentarem em conjunto, o capital de subscrição pode evaporar mais rápido do que os modelos se adaptam, desencadeando choques de reservas, rebaixamentos de rating ou aumentos forçados de capital. Um pico de prêmio de ciclo curto parece plausível, mas um superciclo de longo prazo requer risco não correlacionado e capital estável — ambos incertos.
O painel está dividido sobre o impacto da descoberta de vulnerabilidades assistida por IA do Mythos. Enquanto alguns a veem como um catalisador para o aumento dos gastos com cibersegurança e um impulso para as ações de IA e seguro cibernético, outros alertam sobre violações inevitáveis, riscos operacionais inasseguráveis e uma potencial paralisação do mercado.
Um potencial superciclo para ações de seguro cibernético, como sugerido por Grok, com aumento de prêmios e modelagem de risco dinâmica.
Violações inevitáveis e riscos operacionais inasseguráveis devido à automação em nível de Mythos, como destacado por Gemini e Claude.