As ferramentas avançadas de inteligência artificial da Anthropic para encontrar vulnerabilidades de software atraíram significativa atenção da mídia. Em março, os pesquisadores da Mozilla relataram que Claude Opus 4.6 da Anthropic identificou 14 bugs de alta gravidade e 22 CVEs em duas semanas, superando o desempenho dos pesquisadores humanos da Mozilla.
Usando uma versão de teste do modelo Mythos, pesquisadores de segurança da Califórnia, uma empresa de segurança cibernética com sede em Palo Alto, alegaram ter contornado as medidas de segurança do macOS da Apple. Eles afirmaram que uma “exploração de escalonamento de privilégios”, combinada com outro vetor de ataque, poderia permitir que atores mal-intencionados obtivessem o controle de um dispositivo alvo.
Os pesquisadores explicaram que desenvolveram um software que liga dois bugs separados e empregaram várias técnicas para “corromper a memória do Mac” para acessar componentes restritos. A descoberta da exploração levou cinco dias, exigindo esforço colaborativo de hackers humanos e do modelo Mythos.
A Apple está atualmente revisando o relatório dos pesquisadores para verificar suas descobertas. “A segurança é nossa principal prioridade e levamos muito a sério os relatórios de possíveis vulnerabilidades”, disse um porta-voz da Apple ao The Wall Street Journal.
A Anthropic lançou o Mythos, inicialmente conhecido como Projeto Glasswing, em abril, com acesso limitado a cerca de 40 empresas de tecnologia selecionadas. A empresa informou que a Mythos identificou milhares de vulnerabilidades de alta gravidade em vários sistemas operacionais e navegadores da web, alertando sobre consequências graves se tais capacidades caírem nas mãos de indivíduos mal-intencionados.
Michał Zalewski, pesquisador de segurança do Google, avaliou as descobertas da Califórnia, embora sem envolvimento direto na pesquisa. Ele observou que, embora algum entusiasmo em torno do Mythos possa ser “exagerado”, ele ainda oferece potencial para pesquisas significativas de vulnerabilidades e auditoria de código.
Em meio às discussões sobre as capacidades do Mythos, surgiram preocupações sobre os perigos potenciais do modelo se fosse disponibilizado publicamente. Gary McGraw, ex-executivo de segurança cibernética da Synopsys, entrou na conversa, afirmando que a tecnologia não é inerentemente perigosa demais para ser liberada. Enfatizou a necessidade de enfrentar os desafios reais de segurança cibernética, em vez de restringir o acesso a ferramentas úteis.
