Anthropic flexibiliza regras de compartilhamento do Mythos; parceiros podem divulgar vulnerabilidades

Em 18 de maio, a Anthropic mudou sua política: antes, parceiros que usavam o Mythos para descobrir vulnerabilidades precisavam tratar as descobertas internamente; agora podem compartilhá-las entre si, com reguladores, mídia e até publicamente.

Essa mudança é uma correção significativa na lógica de todo o programa Mythos.

A política anterior era fechada

O Mythos foi lançado em 7 de abril – um modelo de IA treinado no Claude, especializado em descoberta de ataques, que varre softwares comuns para encontrar vulnerabilidades desconhecidas. Não foi vendido diretamente ao público, mas distribuído por meio do Project Glasswing, um programa controlado com 40 empresas participantes, incluindo Amazon, Microsoft, Nvidia e Apple. O objetivo era controlar a disseminação – uma IA que encontra vulnerabilidades poderia ser usada como ferramenta de ataque se mal utilizada.

Nos termos originais, os parceiros só podiam lidar com vulnerabildescobertas internamente. Isso criou uma situação embaraçosa:

A Palo Alto Networks usou recentemente o Mythos para escanear seus próprios produtos, descobrindo 75 vulnerabilidades em um mês – sete vezes sua taxa normal.

Se a Palo Alto não pudesse compartilhar suas descobertas, o nível de segurança de todo o setor só aumentaria dentro do Glasswing, deixando outras empresas que usam os mesmos produtos vulneráveis sem saber do problema.

O que mudou e com quem pode compartilhar

De acordo com um porta-voz da Anthropic à Reuters:

"Apoiamos totalmente que nossos parceiros compartilhem descobertas entre si e com empresas fora do Glasswing para triagem de vulnerabilidades."

Os parceiros agora podem compartilhar informações sobre vulnerabilidades descobertas pelo Mythos com:

  • Outros membros do Glasswing
  • Empresas fora do Glasswing (fornecedores afetados)
  • Organizações do setor
  • Reguladores e governos
  • Mantenedores de software de código aberto
  • Mídia
  • Público

Desde que sigam as normas de divulgação responsável – ou seja, dar aos fornecedores uma janela de correção antes da divulgação pública.

Por que a mudança agora

Isso não foi iniciativa da Anthropic, mas sim uma demanda dos parceiros. Eles temiam que saber de uma vulnerabilidade sozinho os tornasse alvos. Por exemplo, se a Empresa A usasse o Mythos para encontrar um zero-day em um banco de dados popular, pelas regras antigas ela só poderia corrigir silenciosamente sua própria implantação. Mas os atacantes poderiam inferir a vulnerabilidade a partir da correção, expondo instantaneamente todas as outras empresas que usam o mesmo banco de dados.

Portanto, a flexibilização da política transforma essencialmente a "informação de defesa" de um bem privado de volta a um bem público – alinhando-se ao consenso da comunidade de segurança sobre divulgação precoce, ampla e coordenada.

Reguladores também estão procurando

De acordo com relatos da PYMNTS e BusinessToday, a Anthropic concordou em fazer uma apresentação especial ao Conselho de Estabilidade Financeira (FSB) sobre as capacidades e descobertas do Mythos. Isso ocorre após preocupações de presidentes de bancos centrais, Powell e Bessent com o lançamento do Mythos em abril/maio, e o interesse de reguladores financeiros asiáticos e europeus que queriam testar a ferramenta, mas não tinham acesso. A Anthropic agora abriu um canal de comunicação.

O que esse passo significa

Observando a linha do tempo:

  • 7 de abril: Mythos lançado, teste fechado
  • Abril–maio: Membros do Glasswing divulgam descobertas, bancos centrais alarmados
  • 18 de maio: Reversão da política, descobertas podem ser compartilhadas

Em apenas 40 dias, a Anthropic passou de "controle rigoroso de disseminação" para "incentivo ao compartilhamento" – o fator crucial foram os dados reais dos parceiros que provaram que a capacidade de descoberta de ataques do Mythos é estruturalmente superior, não incidental.

O próximo ponto é se o Glasswing será expandido. Se a Anthropic aumentar a escala de 40 para 100 ou 200 empresas, o programa evoluirá de um "projeto piloto de vitrine" para uma "infraestrutura do setor".

Uma pergunta que ninguém havia considerado há alguns anos agora está na mesa de todas as grandes empresas: se sua equipe de segurança não usa IA, e seus adversários usam, qual é o seu plano?

Fontes: Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN); Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS); Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday); CocoLoop; Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)