10.000 vs. 75.
Esses são os dois números mais marcantes no relatório do primeiro mês do Project Glasswing, divulgado pela Anthropic na sexta-feira (22 de maio). No último mês, o Claude Mythos Preview, trabalhando com 50 organizações parceiras, descobriu mais de 10.000 vulnerabilidades de software de alto risco e críticas – mas apenas 75 foram efetivamente corrigidas.
A questão central não é 'quantas foram encontradas', mas 'quantas foram corrigidas'.
Pelos números
A própria Anthropic escaneou mais de 1.000 projetos de código aberto com o Mythos, identificando 23.019 vulnerabilidades, das quais 6.202 eram de alto risco ou críticas. A Cloudflare também fez sua própria varredura e encontrou mais de 2.000, incluindo 400 de alto risco. A Mozilla corrigiu 271 vulnerabilidades em uma única versão do Firefox 150 – mais de 10 vezes o número corrigido no Firefox 148.
As 50 organizações parceiras incluem 12 nomes conhecidos no primeiro escalão: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks. Mais de 40 participantes de segundo escalão também apoiam infraestruturas críticas.
Juntos, esses números representam a superfície de ataque real que foi sistematicamente escaneada pela IA moderna no último mês.
- Mais de 1.000 projetos de código aberto escaneados pela Anthropic
- 23.019 vulnerabilidades totais encontradas em código aberto
- 6.202 delas de alto risco ou críticas
- 2.000 vulnerabilidades encontradas pela Cloudflare em seus próprios sistemas
- 271 vulnerabilidades corrigidas em uma única versão do Firefox 150
- 530 vulnerabilidades de alto risco e críticas reportadas formalmente pela Anthropic aos mantenedores
- 75 efetivamente corrigidas
O gargalo das correções
A própria Anthropic reconhece isso. O post do blog afirma:
"O progresso na segurança de software costumava ser limitado pela rapidez com que podíamos encontrar novas vulnerabilidades. Agora é limitado pela rapidez com que podemos verificar, divulgar e corrigir."
Em termos simples: antes não conseguíamos encontrá-las; agora não conseguimos corrigi-las rápido o suficiente.
A Anthropic reportou formalmente 530 vulnerabilidades de alto risco e críticas aos mantenedores. Até o relatório do primeiro mês, apenas 75 haviam sido corrigidas e apenas 65 tinham um aviso de segurança público. O funil se estreita a cada etapa: 530 → 75 → 65.
Mais estranho ainda, alguns mantenedores já pediram à Anthropic para desacelerar os relatórios – "não envie muitos de uma vez." Projetos de código aberto de pequeno e médio porte simplesmente não têm pessoal para verificar, corrigir, testar e regredir cada vulnerabilidade.
Uma corrida contra o tempo
O vice-presidente da Microsoft, Igor Tsyganskiy, fez um comentário contundente nas observações dos parceiros:
"O que antes levava meses agora acontece em minutos."
A janela entre a descoberta de uma vulnerabilidade e sua exploração encolheu de meses para minutos. É por isso que o número 75 causa arrepios. Se capacidades como o Mythos logo caírem nas mãos de atacantes – o que é apenas uma questão de tempo – a linha do tempo se torna:
- Encontrar vulnerabilidades: minutos, com varredura automatizada por IA
- Escrever código de exploração: minutos, com IA gerando código de prova de conceito
- Notificar mantenedores: dias
- Corrigir vulnerabilidades: semanas, meses ou até mais
O CTO da Palo Alto Networks, Lee Klarich, foi direto:
"O Mythos Preview é um divisor de águas."
Mas sua próxima frase é ainda mais reveladora: "Os atacantes em breve poderão encontrar vulnerabilidades mais rápido do que nunca."
Para onde o dinheiro vai
A Anthropic investiu no Project Glasswing da seguinte forma:
- US$ 100 milhões: créditos de uso do modelo para organizações parceiras
- US$ 2,5 milhões: para Alpha-Omega e OpenSSF (através da Linux Foundation)
- US$ 1,5 milhão: para a Apache Software Foundation
A mensagem é clara: o uso do modelo é gratuito, mas os mantenedores de código aberto precisam de financiamento. US$ 100 milhões parecem muito, mas divididos entre 50 parceiros, são US$ 2 milhões cada – e a carga de trabalho gerada pelas vulnerabilidades descobertas está muito além do que o lado do código aberto pode suportar.
Jim Zemlin, da Linux Foundation, descreveu o Project Glasswing como fornecendo aos mantenedores de código aberto "um caminho crível" – o caminho foi dado, mas eles ainda precisam percorrê-lo sozinhos.
O que significa
No curto prazo, do segundo semestre deste ano até o próximo, o número de correções de grandes empresas continuará a aumentar. A Microsoft já disse que "os pacotes de correção continuarão a crescer." A Oracle também está acelerando as liberações de correções, várias vezes mais rápido do que antes. O Firefox 150 corrigiu 271 vulnerabilidades; o Firefox 151 provavelmente corrigirá ainda mais.
No médio prazo, o problema do 'esgotamento dos mantenedores' no ecossistema de código aberto será trazido ao centro das atenções. Um pacote npm mantido por voluntários que costumava lançar uma correção por ano pode agora receber 30 relatórios do Mythos. Eles não podem corrigir todos. Decidir quais corrigir primeiro, quais depois e quais ignorar se tornará um novo problema político.
No longo prazo, o Project Glasswing revela uma verdade mais profunda: a IA reduziu o custo da descoberta ao mínimo, mas o custo da correção – custos indiretos de engenharia e organização – não diminuirá automaticamente à medida que os modelos melhoram. A próxima década de cibersegurança não será sobre qual IA pode encontrar mais vulnerabilidades, mas sobre qual equipe de engenharia pode transformar mais vulnerabilidades 'a fazer' em 'corrigidas'.
10.000 vs. 75. Essa proporção é a questão do exame para a próxima fase.
Fontes: Project Glasswing: An Initial Update (Anthropic Research); Anthropic finds over 10,000 software flaws in first month of Project Glasswing (Interesting Engineering); Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious (Security Affairs); CocoLoop