A Anthropic, empresa de inteligência artificial, revelou que seu modelo Claude Mythos identificou mais de 23 mil potenciais falhas de segurança em mais de mil projetos de software de código aberto. Das 1.900 vulnerabilidades analisadas até o momento por empresas externas, 1.726 foram confirmadas, sendo mais de mil classificadas como de gravidade alta ou crítica.
Ainda em fase de análise, o modelo já aponta para a confirmação de quase 3.900 vulnerabilidades graves com base apenas nas descobertas atuais, segundo os especialistas da empresa. Como as varreduras continuam, a estimativa é que esse número possa chegar a 6.200. Mais de 1.100 achados ainda não verificados foram reportados aos fornecedores dos sistemas afetados, e 75 problemas com classificação crítica ou alta já receberam correções. Foram publicados 65 avisos de segurança por parte dos fornecedores.
Patches ainda são minoria
A empresa explica que o número de correções ainda é baixo porque o processo está no início da janela de 90 dias estabelecida na política de divulgação coordenada de vulnerabilidades. A Anthropic também admite que pode estar subestimando a quantidade de patches, uma vez que algumas correções ocorrem sem um aviso público, nesses casos, a própria empresa usa o Claude para procurar as atualizações.
O relatório aponta ainda um problema real: mesmo no ritmo relativamente lento de divulgações, o Mythos já está sobrecarregando o ecossistema de segurança. Em resposta ao aumento na descoberta de falhas por IA, a Anthropic lançou recentemente o Claude Security, um scanner de base de código para ajudar desenvolvedores a encontrar problemas em suas aplicações.
Resultados variados entre organizações
Cerca de 50 organizações têm acesso ao Mythos Preview por meio do Projeto Glasswing. A Anthropic evita liberar o acesso amplo por receio de uso malicioso do modelo. A Mozilla relatou ter encontrado 271 vulnerabilidades no Firefox com a ferramenta. A Palo Alto Networks também localizou dezenas de falhas.
A empresa de segurança ofensiva autônoma XBOW considerou o Mythos potente para descoberta de vulnerabilidades, e o governo do Reino Unido também obteve bons resultados. O Google recebeu acesso, mas não está claro se o recente aumento na detecção de vulnerabilidades no Chrome se deve ao Mythos, às ferramentas próprias de IA da empresa ou a ambos.
Em contrapartida, o modelo encontrou apenas uma vulnerabilidade de baixa gravidade no Curl, gerando debate entre especialistas se isso representa uma falha da ferramenta ou um atestado da maturidade do projeto de transferência de dados.
A Anthropic afirma que ainda não desenvolveu salvaguardas suficientemente fortes para evitar o uso indevido do Mythos, mas trabalha para adicionar mais organizações ao Glasswing e espera tornar essa classe de modelos disponível ao público em breve.
fonte: CISO ADVISOR
