
A equipa de segurança da Cloudflare testou recentemente o Mythos Preview, um modelo de inteligência artificial não lançado da Anthropic, contra mais de cinquenta dos seus próprios repositórios de código de produção. Segundo os detalhes revelados no blog oficial da Cloudflare, a ferramenta apresentou capacidades muito avançadas na descoberta de falhas informáticas, o que levou o diretor de segurança de informação da empresa a alertar que o sistema precisa de salvaguardas adicionais antes de ser disponibilizado ao público em geral.
A evolução na criação de provas de conceito
Ao contrário de modelos anteriores que apenas identificavam anomalias no código e paravam por aí, o Mythos Preview consegue encadear vários problemas de baixa gravidade para criar uma exploração grave e funcional. A inteligência artificial assume uma postura semelhante à de um investigador de segurança experiente, elaborando uma prova de conceito onde escreve o código de ataque, compila a informação num ambiente de testes e executa a operação. Se o ataque falhar à primeira, o modelo lê o erro, ajusta a sua hipótese e tenta novamente de forma autónoma.
Esta capacidade resolve um dos maiores problemas das equipas de cibersegurança, que perdem horas a analisar falsos positivos. Quando o Mythos Preview entrega um relatório, fá-lo já com uma prova de que a falha é real e pode ser explorada, poupando tempo valioso no processo de triagem. A Cloudflare notou ainda que pedir a um agente de programação genérico para procurar erros não funciona de forma eficiente, sendo preferível utilizar tarefas muito específicas e colocar dois agentes a analisar o trabalho um do outro para reduzir o ruído.
Segurança inconsistente e as barreiras necessárias
No que toca aos limites éticos e de segurança, a versão avaliada durante o Project Glasswing não incluiu as proteções adicionais que já estão presentes em modelos comerciais como o Opus 4.7 ou o GPT-5.5. Embora o Mythos Preview apresente recusas orgânicas a pedidos maliciosos, a Cloudflare confirmou que estas não são consistentes. Um pedido negado pode ser aceite pouco depois se a instrução for reescrita de uma forma ligeiramente diferente, sublinhando a necessidade de controlos externos rígidos.
Curiosamente, a Cloudflare não fez parte da lista original de parceiros de lançamento do Project Glasswing, tendo sido convidada mais tarde para se juntar a gigantes do setor como a Apple, AWS, Google, Microsoft e CrowdStrike. As conclusões destes testes mostram que o paradigma da defesa também tem de mudar. Mais do que corrigir erros em tempo recorde, as empresas vão precisar de implementar alterações profundas na arquitetura dos seus sistemas para dificultar o trabalho de ferramentas automatizadas cada vez mais poderosas.












Nenhum comentário
Seja o primeiro!