O que é Claude Mythos e quais riscos ele representa?

Nas últimas semanas, o mundo da IA tem estado agitado após alegações feitas pela empresa líder, Anthropic, sobre seu novo modelo, Claude Mythos.

A empresa afirma que a ferramenta pode superar humanos em algumas tarefas de hacking e cibersegurança, o que gerou discussões entre reguladores, legisladores e instituições financeiras sobre os perigos que ela poderia representar para os serviços digitais.

Várias gigantes da tecnologia tiveram acesso ao Mythos por meio de uma iniciativa chamada Project Glasswing, projetada para fortalecer a resiliência ao próprio Mythos.

Mas outros apontam que é do interesse da Anthropic sugerir que sua ferramenta possui capacidades inéditas, o que significa – como sempre com IA – que a tarefa de distinguir entre alegações justificadas e hype pode ser complicada.

O que é Claude Mythos?

Mythos é um dos modelos mais recentes da Anthropic, desenvolvido como parte de seu sistema de IA mais amplo chamado Claude. Ele abrange o assistente de IA da empresa e sua família de modelos, rivalizando com o ChatGPT da OpenAI e o Gemini do Google.

Foi revelado pela Anthropic no início de abril como "Mythos Preview".

Pesquisadores que testam como os modelos de IA lidam com solicitações ou tarefas específicas, conhecidos como "red-teams", disseram em um relatório que o Mythos era "surpreendentemente capaz em tarefas de segurança de computadores".

Eles descobriram que a ferramenta poderia localizar bugs adormecidos escondidos em códigos de décadas e explorá-los facilmente.

Portanto, em vez de torná-lo amplamente disponível para usuários do Claude, a Anthropic deu acesso a 12 empresas de tecnologia por meio do Project Glasswing, que descreveu como "um esforço para proteger o software mais crítico do mundo".

Eles incluem a gigante da computação em nuvem Amazon Web Services, os fabricantes de dispositivos Apple, Microsoft e Google, e os fabricantes de chips Nvidia e Broadcom.

A Crowdstrike, cuja atualização de software defeituosa causou uma grande interrupção global em julho de 2024, também está entre os parceiros do projeto, com a Anthropic dizendo que também deu acesso ao Mythos a mais de 40 organizações responsáveis por software crítico.

Em um vídeo divulgado junto com o lançamento do Project Glasswing, o chefe da Anthropic, Dario Amodei, disse que ofereceu trabalhar com funcionários do governo dos EUA para "ajudar a defender contra o risco desses modelos".

Por que existem preocupações?

A Anthropic afirma que durante os testes descobriu que o modelo era altamente qualificado em tarefas de cibersegurança e hacking, superando os humanos.

"O Mythos Preview já encontrou milhares de vulnerabilidades de alta gravidade, incluindo algumas em todos os principais sistemas operacionais e navegadores da web", alegou a Anthropic em 7 de abril.

"Dada a taxa de progresso da IA, não demorará muito para que tais capacidades se proliferem, potencialmente além de atores que estão comprometidos em implementá-las com segurança."

Afirmou que poderia localizar – sem muita supervisão – bugs críticos que precisam de ação imediata em sistemas antigos, incluindo uma vulnerabilidade que existia em um sistema há 27 anos, e sugerir maneiras de explorá-los.

Alguns ministros das finanças, banqueiros centrais e financistas expressaram sérias preocupações desde então, temendo que o modelo possa minar a segurança dos sistemas financeiros.

O ministro das finanças canadense, François-Philippe Champagne, disse à BBC que o Mythos foi discutido em uma reunião do Fundo Monetário Internacional (FMI) em Washington DC esta semana.

"Certamente é sério o suficiente para merecer a atenção de todos os ministros das finanças", disse ele, descrevendo a tecnologia como um "desconhecido desconhecido".

O chefe do Banco da Inglaterra, Andrew Bailey, disse à BBC que "temos que olhar muito cuidadosamente agora o que este último desenvolvimento de IA pode significar para o risco de crime cibernético."

Enquanto isso, a UE disse que também está em discussões com a Anthropic sobre suas preocupações em torno do Mythos.

O que os especialistas em cibersegurança disseram sobre isso?

Ciaran Martin, ex-chefe do National Cyber Security Centre do Reino Unido, disse à BBC no início desta semana que a alegação de que o Mythos poderia descobrir vulnerabilidades críticas muito mais rapidamente do que outros modelos de IA havia "realmente abalado as pessoas".

"A segunda coisa é que, mesmo com as fraquezas existentes que conhecemos, mas contra as quais as organizações podem não ter aplicado patches, podem não estar bem defendidas, é simplesmente um hacker muito bom", disse ele.

Muitos analistas e especialistas independentes em cibersegurança ainda não conseguiram testá-lo e alguns permanecem céticos sobre o desempenho do Mythos.

O AI Safety Institute do Reino Unido concluiu recentemente que, embora seja um modelo muito poderoso, sua maior ameaça seria contra sistemas mal defendidos e vulneráveis.

"Não podemos dizer com certeza se o Mythos Preview seria capaz de atacar sistemas bem defendidos", disseram seus pesquisadores.

Portanto, onde há boa cibersegurança, este modelo, em teoria, esperançosamente seria interrompido.

Devemos nos preocupar com isso?

Os medos relacionados à IA não são novidade.

Novos modelos e ferramentas estão sendo lançados o tempo todo, e muitas vezes acompanhados de promessas de revolucionar nossas vidas, para melhor ou para pior.

Capitalizar essa mistura de medo e excitação sobre a IA e seu impacto futuro também se tornou uma marca registrada do setor e de suas estratégias de marketing nos últimos anos.

No caso do Mythos, ainda não sabemos o suficiente para saber se essas esperanças ou medos são justificados, ou mais um reflexo do hype em torno da indústria.

Em qualquer um dos casos, de acordo com o NSCS, a coisa mais importante que podemos fazer agora é não entrar em pânico e, em vez disso, focar na necessidade de acertar os fundamentos da cibersegurança.

Afinal, a maioria dos hackers não precisa de super ferramentas de IA para invadir sistemas quando ataques muito mais simples geralmente são suficientes.

"Para alguns, este é um evento apocalíptico, para outros, parece ser muito hype", disse Martin à BBC.

Mas ele disse que, quer fosse esta ferramenta ou as subsequentes feitas pela Anthropic ou seus rivais, juntamente com o risco, havia uma oportunidade de construir um mundo online mais seguro.

"A médio prazo, há uma oportunidade de usar essas ferramentas para corrigir muitas das vulnerabilidades subjacentes na internet", disse ele.

Inscreva-se em nosso boletim informativo Tech Decoded para acompanhar as principais histórias e tendências de tecnologia do mundo. Fora do Reino Unido? Inscreva-se aqui.