O Problema do Controle de IA

Project Glasswing: Quando o Laboratório de IA Se Recusa a Lançar o Próprio Modelo

TV
Thiago Victorino
9 min de leitura
Project Glasswing: Quando o Laboratório de IA Se Recusa a Lançar o Próprio Modelo
Ouvir este artigo

Dois dias atrás, analisamos o que acontece quando um pesquisador aponta o Claude para o kernel do Linux e encontra bugs de 23 anos. Um pesquisador, um modelo, um script bash.

Agora multiplique isso por doze organizações, um modelo significativamente mais capaz, e US$ 100 milhões em créditos de uso.

Isso é o Project Glasswing.

O que a Anthropic construiu

A Anthropic reuniu AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks para usar um modelo que a própria empresa decidiu não lançar ao público: o Claude Mythos Preview.

Os números do Mythos Preview merecem contexto. No CyberGym, benchmark de cibersegurança da UC Berkeley, o modelo atingiu 83,1% contra 66,6% do Opus 4.6. No SWE-bench Verified, 93,9% contra 80,8%. A Anthropic reporta que o modelo encontrou milhares de vulnerabilidades de alta severidade em todos os principais sistemas operacionais e navegadores. Uma delas era um bug de 27 anos no OpenBSD que permitia crash remoto. No Firefox, o Mythos identificou 181 exploits, contra 2 de modelos anteriores.

A escala do salto importa. Como documentamos na análise da palestra de Nicholas Carlini, a capacidade de descoberta de vulnerabilidades não cresce linearmente entre gerações de modelos. Ela salta. O Mythos Preview representa outro salto.

O dado que deveria tirar o sono de qualquer CISO

Menos de 1% das vulnerabilidades descobertas pelo modelo foram corrigidas até agora.

Esse número precisa ser lido duas vezes. A coalizão encontrou milhares de vulnerabilidades de alta severidade. A taxa de correção está abaixo de 1%. A capacidade de descoberta ultrapassou a capacidade de remediação por uma margem que torna a maioria dos SLAs de patching irrelevantes.

Elia Zaitsev, CTO da CrowdStrike, formulou o problema com precisão: “A janela entre vulnerabilidade descoberta e explorada colapsou. O que levava meses agora acontece em minutos com IA.”

Já descrevemos essa dinâmica. Em A Cadeia de Suprimentos de Software Está Sob Ataque dos Dois Lados, mostramos que o custo de encontrar falhas em código tende a zero enquanto a capacidade de correção permanece constante. O Glasswing confirma a tese com dados de escala industrial.

O modelo restrito como paradigma

A decisão mais significativa do Glasswing não é técnica. É estrutural.

A Anthropic construiu o modelo mais capaz em cibersegurança que existe e decidiu que ele não pode ser vendido. O Mythos Preview não está planejado para disponibilidade geral. O acesso é restrito aos parceiros da coalizão e a cerca de 40 organizações de infraestrutura crítica.

O preço sinaliza a mesma coisa: US$ 25 por milhão de tokens de entrada e US$ 125 por milhão de tokens de saída. Cinco vezes o custo do Opus 4.6. Não é precificação de produto de consumo. É precificação de acesso controlado.

Pat Opet, CISO do JPMorganChase, chamou o projeto de “oportunidade única e em estágio inicial para avaliar ferramentas de IA de próxima geração para cibersegurança defensiva.” A palavra “estágio inicial” carrega peso. Mesmo com US$ 100 milhões em créditos e uma coalizão de empresas que, juntas, representam uma fatia considerável da infraestrutura digital global, o CISO do maior banco americano trata isso como experimento.

Essa cautela é apropriada.

A tensão do bombeiro-incendiário

A pergunta que a estrutura do Glasswing levanta é incômoda, e é necessário formulá-la sem rodeios.

A Anthropic construiu um modelo com capacidade ofensiva sem precedentes em cibersegurança. Depois ofereceu acesso defensivo mediante pagamento. O mesmo laboratório que cria a ameaça vende a proteção.

Não é uma acusação de má-fé. É uma observação sobre incentivos. Quanto melhor o Mythos Preview for em encontrar vulnerabilidades, mais valioso ele se torna como ferramenta defensiva, e mais caro ele pode ser cobrado. O ciclo se retroalimenta.

A Anthropic mitiga esse problema de três formas. Primeira: o modelo não está disponível ao público, o que limita o uso ofensivo por atores maliciosos (ao menos em tese). Segunda: a coalizão inclui organizações com reputação a proteger, o que cria accountability mútua. Terceira: a empresa se comprometeu a publicar um relatório sobre lições aprendidas em 90 dias.

Nenhuma dessas mitigações é suficiente isoladamente. Juntas, representam algo mais interessante que a alternativa. A alternativa seria lançar o modelo no mercado aberto e deixar que o preço decidisse quem o usa.

O que está ausente

A coalizão tem nomes de peso. Também tem ausências notáveis.

Meta, Oracle, IBM, Samsung e Intel não participam. Cada ausência tem suas possíveis razões (competição, desinteresse, timing), mas o padrão importa. Uma coalizão de defesa cibernética que não inclui o maior operador de redes sociais do mundo ou os dois maiores fabricantes de processadores tem pontos cegos estruturais.

Os benchmarks também merecem ceticismo calibrado. CyberGym é um benchmark real da UC Berkeley, mas os resultados são auto-reportados pela Anthropic. Não há comparação com o Google Project Zero, com o DARPA AIxCC, ou com o OSS-Fuzz. Quando a única baseline de comparação é o modelo anterior da mesma empresa, a validação externa é zero.

Jim Zemlin, CEO da Linux Foundation, disse que o Glasswing “oferece um caminho credível para mudar essa equação.” Credível é a palavra-chave. Não é comprovado. É plausível o bastante para justificar o investimento de US$ 2,5 milhões na Alpha-Omega/OpenSSF e US$ 1,5 milhão na Apache Foundation. Se o modelo cumprir metade do que promete, o retorno justifica o capital.

O teste de não-especialista

Um dado do anúncio merece atenção separada. A Anthropic reporta que uma pessoa sem especialização em segurança conseguiu produzir um exploit funcional de execução remota de código (RCE) em uma noite, gastando menos de US$ 2.000.

Releia com a perspectiva de quem defende infraestrutura. A barreira de entrada para produzir exploits funcionais caiu para o custo de uma passagem aérea. O CrowdStrike Global Threat Report de 2026 documenta aumento de 89% em ataques com uso de IA ano a ano. A relação entre esses dois dados não é coincidência. Ferramentas mais baratas produzem mais atacantes.

A resposta da Anthropic a essa realidade é restringir o modelo. Mas o Mythos Preview não é a única capacidade em jogo. Modelos open-source continuam melhorando. Modelos de concorrentes também. A restrição funciona como barreira temporária, não como solução permanente.

O sinal regulatório

O EU AI Act entra em fiscalização em 2 de agosto de 2026, com penalidades de 3% da receita global. O Glasswing não é um projeto de pesquisa acadêmica. É uma empresa se posicionando antes que a regulamentação defina as regras.

O compromisso de publicar lições aprendidas em 90 dias é calibrado com precisão para produzir dados antes da fiscalização europeia. Não é altruísmo. É estratégia regulatória.

Para empresas brasileiras, o sinal é direto. O Brasil segue padrões regulatórios europeus com defasagem de 12 a 18 meses. O que o EU AI Act exigir em agosto de 2026, a regulamentação brasileira provavelmente exigirá em 2027 ou 2028. Organizações que tratam governança de IA como problema futuro estão calculando com o calendário errado.

O que o Glasswing valida

Como argumentamos em Governança de IA É Cibersegurança, tratar essas disciplinas como departamentos separados cria vulnerabilidade estrutural. O Glasswing é a demonstração em escala dessa tese. O modelo mais capaz em cibersegurança não pode ser implantado sem governança explícita sobre quem o acessa, como ele é usado, e quais resultados são reportados.

Se o laboratório que construiu o modelo não o implanta sem controles, nenhuma organização deveria implantar capacidades de IA frontier sem o equivalente.

A diferença entre o que a Anthropic fez com o Glasswing e o que acontece na maioria das empresas é simples. A Anthropic decidiu que a capacidade do modelo exige governança antes do deployment. A maioria das empresas faz o contrário: implanta primeiro, governa depois (se governa).

O Glasswing não resolve o problema de cibersegurança. Menos de 1% das vulnerabilidades descobertas foram corrigidas. Mas ele estabelece um precedente sobre como capacidades frontier devem ser tratadas. O precedente é mais valioso que as correções.

Fontes

  • Anthropic. “Project Glasswing.” Abril 2026.
  • CrowdStrike. “2026 Global Threat Report.” Fevereiro 2026.
  • UC Berkeley. “CyberGym Benchmark.” 2026.
  • governance.ai. “The Costs of Cybercrime.” 2026.

Victorino Group ajuda organizações a construir frameworks de governança para capacidades de IA frontier antes que a decisão de deployment seja tomada por eles: contato@victorino.com.br | www.victorino.com.br

Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa