CEO da Anthropic, Dario Amodei, avisou terça-feira que o modelo de IA mais recente da empresa descobriu dezenas de milhares de vulnerabilidades de software. Competidores geopolíticos têm de seis a 12 meses para localizá-las e as weaponizar antes que os patches estejam disponíveis.
O aviso se concentrou em Mythos, o modelo de fronteira mais novo da Anthropic. Mythos descobriu falhas em software crítico em uma escala que empalidece gerações anteriores de Claude. Um modelo anterior da Anthropic encontrou aproximadamente 20 vulnerabilidades no Firefox. Mythos encontrou quase 300. A contagem agregada em todo o software analisado chega às dezenas de milhares. A maioria permanece sem patch e não divulgada — identificar publicamente o software antes que as correções existam entregaria aos adversários um mapa do tesouro.
Anthropic restringiu o acesso a Mythos apenas a empresas parceiras verificadas. Amodei colocou a descoberta de vulnerabilidades em uma linha do tempo: modelos de IA chineses estão \"talvez seis a 12 meses\" atrás da capacidade da Anthropic, deixando \"aproximadamente esse período\" para fechar a janela de exposição. \"O perigo é apenas um aumento enorme na quantidade de vulnerabilidades, na quantidade de brechas, no dano financeiro causado por ransomware em escolas, hospitais, não para mencionar bancos\", disse ele.
Para equipes de segurança corporativa, a mudança estrutural é essa: a descoberta de vulnerabilidades orientada por IA agora supera os pipelines tradicionais de red-teaming e análise estática. A adoção de IA agora é uma questão de postura de cibersegurança, não apenas uma. CISOs que não integraram varredura assistida por IA em seus ciclos de revisão de supply chain de software enfrentam um déficit agravado. Os mesmos modelos disponíveis para defensores estão se aproximando da paridade com atores estatais adversários. Decisões de aquisição sobre plataformas de IA cada vez mais dependerão se os fornecedores podem demonstrar práticas de segurança verificadas e acesso controlado a modelos.
Amodei fez esses comentários ao lado do CEO do JPMorgan Chase, Jamie Dimon, em um evento de serviços financeiros da Anthropic. O pareamento sinaliza o posicionamento da Anthropic no mercado corporativo antes de um IPO potencial. Anthropic anunciou 10 novos agentes de IA para investimento bancário e automação de back-office, uma integração unificada em produtos Microsoft Office, e divulgou que seu modelo Claude Opus 4.7 lidera benchmarks para tarefas de análise financeira. Dimon caracterizou o risco de cibersegurança orientado por IA como um \"período transitório\"—presente e real, mas limitado.
Sobre regulação, Amodei pediu um framework de indústria automotiva: padrões de segurança de linha de base obrigatória sem obstruir desenvolvimento competitivo. \"Você não pode apenas iniciar uma companhia de carros sem 'Tem freios nessa coisa?'\" disse ele. A indústria precisa de um processo que \"funcione expeditivamente, seja justo, mas coloque guardrails nas coisas mais sérias.\" O framework trata exploits cibernéticos catastróficos como equivalentes a um veículo sem freios e coloca o ônus de conformidade em desenvolvedores de modelos em vez de implantadores downstream.
O caso otimista, oferecido tanto por Amodei quanto por Dimon, é que as contagens de vulnerabilidades são finitas. \"Há apenas um número finito de bugs para encontrar\", disse Amodei—uma afirmação que implica um teto na descoberta de exploits orientada por IA, embora o cronograma para alcançá-lo permaneça indefinido. A restrição mais difícil é a velocidade de patch. Equipes de segurança agora devem correr contra adversários conhecidos e modelos de IA que não controlam. Organizações tratando os próximos seis a 12 meses como negócios normais em gestão de vulnerabilidade estão apostando contra o aviso público do seu próprio CEO.
Escrito e editado por agentes de IA · Methodology