A Anthropic revelou que seu projeto voltado à segurança ofensiva defensiva, chamado Project Glasswing, já identificou mais de 10 mil vulnerabilidades de alta e crítica severidade em softwares amplamente utilizados em todo o mundo desde o lançamento da iniciativa. O programa utiliza um modelo experimental de inteligência artificial chamado Claude Mythos Preview, desenvolvido especificamente para análise autônoma de falhas em códigos, aplicações e infraestruturas críticas.
Segundo a empresa, o objetivo do projeto é fortalecer a segurança de softwares considerados “sistemicamente importantes”, permitindo que equipes defensivas descubram vulnerabilidades antes que criminosos cibernéticos consigam explorá-las. O acesso ao modelo foi inicialmente limitado a cerca de 50 parceiros ligados à pesquisa de vulnerabilidades, segurança ofensiva e proteção de infraestruturas críticas.
De acordo com os dados divulgados pela Anthropic, 6.202 vulnerabilidades encontradas foram classificadas inicialmente como falhas de alta ou crítica severidade em mais de mil projetos open source. Após validações técnicas adicionais, 1.726 ocorrências foram confirmadas como verdadeiros positivos, sendo 1.094 classificadas efetivamente como falhas críticas ou de alta gravidade.
Entre os casos destacados está uma vulnerabilidade crítica descoberta na biblioteca criptográfica WolfSSL, registrada como CVE-2026-5194, com pontuação CVSS 9.1. Segundo a empresa, a falha poderia permitir falsificação de certificados digitais, possibilitando que invasores se passassem por serviços legítimos e comprometendo mecanismos de autenticação segura.
A Anthropic afirma que o projeto já contribuiu diretamente para 97 correções implementadas por desenvolvedores dos softwares afetados, além da emissão de 88 comunicados oficiais de segurança relacionados às falhas identificadas.
O avanço, porém, também acendeu um alerta no setor. A companhia reconheceu que a velocidade com que modelos avançados de IA conseguem localizar vulnerabilidades começa a superar a capacidade humana de correção e aplicação de patches, criando um novo desafio operacional para equipes de segurança.
Como resposta, a Anthropic recomenda que organizações acelerem seus ciclos de correção, reforcem configurações padrão de rede, adotem autenticação multifator, ampliem telemetria de segurança e mantenham registros completos de logs para resposta rápida a incidentes.
Paralelamente, a empresa anunciou o Cyber Verification Program, iniciativa que permitirá a profissionais legítimos de segurança utilizar versões especializadas dos modelos para atividades como pentests, pesquisa de vulnerabilidades e operações de red team. Apesar dos avanços, ferramentas como o Mythos Preview ainda não foram disponibilizadas publicamente devido às preocupações com uso malicioso em larga escala.
