Tem medo de abrir a caixa de Pandora? O modelo mais poderoso de sempre da Anthropic não se atreve a ser divulgado

O código-fonte do OpenBSD apresenta uma vulnerabilidade com 27 anos. Existe uma vulnerabilidade no FFmpeg com 16 anos, tendo esse segmento de código sido executado mais de 5 milhões de vezes antes de ser descoberto. As entidades que descobriram estas duas falhas não eram investigadores de renome em nenhuma plataforma de recompensas por falhas de segurança, nem o Google Project Zero. Era o Anthropic, um modelo ainda não lançado publicamente, com o nome de código Claude Mythos Preview.

A 7 de abril, a Anthropic anunciou o Project Glasswing. A ação em si era simples: partilhar o Mythos Preview com uma lista de permissões. A lista incluía a AWS, a Apple, a Google, a Microsoft, a NVIDIA, a Broadcom, a Cisco, a CrowdStrike, o JPMorgan Chase, a Linux Foundation e a Palo Alto Networks, além de cerca de 40 instituições responsáveis por infraestruturas críticas. Quem não constasse da lista não podia aceder à mesma. A Anthropic afirmou explicitamente que não tenciona divulgar publicamente este modelo num futuro próximo.

Esta é a primeira vez que este laboratório de ponta tomou a iniciativa de proteger o seu maior trunfo.

Nos últimos dois anos, o ritmo de lançamento tem sido quase automático. Cada avanço geracional do GPT, do Gemini e do Claude seguiu um padrão de «lançamento, observação e correção». A «Política de Expansão Responsável» (RSP) da Anthropic é, essencialmente, um quadro de compromissos: atingir um determinado limiar de capacidade, implementar as medidas de mitigação correspondentes e, em seguida, continuar a lançar produtos. O Glasswing não é o próximo passo neste quadro, mas sim a primeira exceção. Um modelo que a própria Anthropic considerou «inadequado para divulgação de acordo com o processo original» foi selecionado e disponibilizado apenas aos guardiões.

O que é que o Mythos Preview conseguiu? O comunicado oficial refere «milhares de vulnerabilidades de dia zero, que afetam todos os principais sistemas operativos e navegadores». Mais reveladora do que os números é a amplitude das capacidades. O Claude 4.6 Opus apresentou uma taxa de sucesso próxima de zero em tarefas como a deteção autónoma de vulnerabilidades. Por outras palavras, há apenas seis meses, o modelo público mais avançado da Anthropic não era capaz de fazer isto de todo. O Mythos consegue encadear várias vulnerabilidades não relacionadas numa cadeia de ataque completa, sendo um exemplo comprovado uma exploração de navegador em quatro etapas. Passar de «quase zero» para uma «cadeia de quatro vulnerabilidades» não é um avanço gradual entre gerações, mas sim um salto.

Os responsáveis pela manutenção já sentiram isso. Tanto Greg Kroah-Hartman, do kernel Linux, como Daniel Stenberg, autor do curl, afirmaram recentemente o mesmo: ao longo do último ano, os relatórios de segurança gerados por IA passaram de um nível de «spam» para um conteúdo «autêntico, de alta qualidade e imperdível». O número de relatórios recebidos pelos projetos de código aberto está a aumentar, tal como a sua qualidade, enquanto os recursos humanos dos mantenedores permanecem os mesmos. Esta é uma questão com a qual a defesa tem vindo a debater-se há muito tempo. As ações da Anthropic simplesmente trouxeram esta questão, que antes era uma vaga ansiedade, para o centro das atenções.

Vale a pena dar uma vista de olhos à própria lista de permissões. A lista inclui as três principais plataformas de nuvem (AWS, Google, Microsoft), três empresas de hardware (Apple, NVIDIA, Broadcom), dois fabricantes de equipamentos de rede (Cisco, Palo Alto Networks), uma empresa de segurança de terminais (CrowdStrike), uma organização de infraestruturas de código aberto (Linux Foundation) e um banco. Há apenas um banco na lista, que é o JPMorgan Chase.

Não se trata de uma atribuição aleatória de vagas. A Anthropic traçou um mapa do tipo «se isto cair, o céu desabará». A grande maioria do código informático do mundo é executada na infraestrutura destas empresas, e a grande maioria do dinheiro do mundo passa por uma delas. A lógica subjacente à lista de exceções não é «quem mais precisa», mas sim «cuja queda afetará mais imediatamente a todos». Para além desta lista, a Anthropic destinou mais 4 milhões de dólares a organizações de segurança de código aberto. O dinheiro proporciona recursos humanos, o modelo proporciona capacidade e, juntos, resultam numa coisa: dar aos mantenedores alguns meses.

A formulação utilizada pela própria Anthropic é mais direta do que a lista de permissões. No seu comunicado, a empresa afirma: «Dado o ritmo de desenvolvimento da IA, este tipo de capacidade não permanecerá, a longo prazo, nas mãos daqueles que se dedicam à implementação de medidas de segurança.» Segue-se uma frase que diz: «A defesa da infraestrutura da rede global poderá demorar vários anos.»

Juntando estas duas frases, a Anthropic conclui que o intervalo de tempo antes de o modelo ser divulgado ou replicado é curto, enquanto o intervalo de tempo de que os defensores dispõem para corrigir as vulnerabilidades é longo. O cerne de Glasswing reside precisamente nestas duas disparidades temporais. Com uma primeira ação bem planeada, poupam-se de alguns meses a um ano de trabalho de correção.

Esta questão tem também uma vertente relacionada com Washington. A Anthropic está a manter conversações com o governo dos EUA sobre as funcionalidades do Mythos Preview. Ao mesmo tempo, a empresa tem um litígio pendente com os EUA. Departamento de Defesa relativamente ao âmbito da utilização da IA no âmbito militar. Por um lado, a empresa recusa-se a utilizar o modelo para determinados fins militares; por outro lado, partilha proativamente esse modelo com a Linux Foundation e com a equipa de segurança da Apple. Estas duas ações não são contraditórias, mas constituem as duas faces da mesma decisão. A Anthropic está a definir «para que pode ser utilizado este modelo», em vez de deixar essa definição a cargo dos utilizadores.

O mais invulgar em relação à Glasswing não é o que fez, mas sim quando o fez. No passado, as empresas de IA provavam o seu valor através dos lançamentos. Agora, a Anthropic opta por provar o seu valor através da «não divulgação». Um laboratório de ponta mantém o seu produto mais poderoso em segredo, não por motivos comerciais, não porque o desenvolvimento ainda não esteja concluído, nem por exigências regulamentares, mas porque calculou que o calendário de lançamento aberto não consegue acompanhar o calendário de correções.

O que vale a pena acompanhar nos próximos meses não é propriamente a pré-visualização do Mythos, mas sim quantas vulnerabilidades foram corrigidas nas cerca de 50 instituições da lista de permissões que a executaram. O que resta saber agora é se outros laboratórios de ponta seguirão o exemplo. Se isso acontecer, uma indústria que funciona num ritmo «aberto, iterativo e aberto» terá assistido à sua primeira jogada do tipo «vamos fechar isto e depois veremos». Se não o fizerem, a Anthropic será quem estará à porta. Segurando a chave, a olhar para o relógio.