MADRID 2 jun. (Portaltic/EP) -
A KPMG destacou a mudança de paradigma na área de segurança cibernética representada pelo surgimento do Claude Mythos, com sua capacidade de combinar raciocínio lógico, análise de código, autonomia autônoma e habilidade para construir cadeias de exploração funcionais sem intervenção humana direta.
Os sócios responsáveis pela Cibersegurança e Risco Tecnológico da KPMG na Espanha, Marc Martínez e Javier Aznar, compartilharam com a Associação de Jornalistas de Informação Econômica (APIE), em Madri, os detalhes sobre como o Claude Mythos, que inicialmente foi projetado como um modelo generalista, representa um antes e um depois na segurança das empresas após o marco histórico de abril de 2026, quando ajudou a descobrir mais de 10.000 vulnerabilidades graves.
Passou-se da segurança baseada em assinaturas e regras condicionais com o esquema “se acontecer X, faça Y” para a segurança cognitiva e autônoma que o Mythos representa em sua totalidade, e à qual a OpenAI já está se somando com a iniciativa ‘Daybreak’, que está abrindo as portas na Europa com seu novo modelo GPT-5.5-Cyber.
O Mythos, graças à sua capacidade de analisar grandes bases de código de forma autônoma, formular hipóteses sobre falhas de segurança, identificar vulnerabilidades complexas e construir cadeias de exploração funcionais, tornou-se uma ferramenta de segurança cibernética sem precedentes.
Não se trata apenas de procurar anomalias ou compreender o contexto do serviço que vai testar, mas sim de raciocinar como um invasor e ser simplesmente um detetive especialista que analisa o comportamento e o ambiente de qualquer código, programa ou serviço “online”.
Isso colocou em alerta tanto as empresas quanto a própria Anthropic, que tomou a decisão de criar um esquema de acesso restrito sob a iniciativa chamada Project Glasswing, ao qual apenas um número específico de empresas (por enquanto, apenas americanas) tem acesso, para evitar a aceleração das capacidades de exploração avançada de vulnerabilidades.
O acesso ao Project Glasswing não é público, e a Anthropic o distribuiu entre parceiros como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks.
No final de junho ou início de julho deste ano, a Anthropic planeja publicar um relatório completo com as descobertas do programa, que inclui aproximadamente 40 organizações com acesso controlado que mantêm softwares ou infraestruturas críticas, bibliotecas criptográficas ou servidores-chave.
O objetivo é avaliar o perigo real do Mythos e tomar decisões sobre como disponibilizá-lo ao público em geral antes que ele possa cair nas mãos erradas. Não se trata mais de uma IA que auxilia o usuário ou a empresa, mas de uma IA autônoma que toma decisões.
A KPMG destacou os principais desafios que o Claude Mythos representa em matéria de segurança cibernética, uma vez que passa de uma IA assistida para uma IA autônoma, minimiza os tempos de resposta (o intervalo entre divulgação, correção e exploração é reduzido de semanas ou meses para dias ou horas) e potencializa a escalabilidade dos ataques (a capacidade de automatizar e lançar milhares de ataques de forma simultânea e em grande escala).
Sua irrupção se traduz em novos riscos para as empresas, uma vez que aumenta de forma sustentada as vulnerabilidades críticas, torna obsoletos os modelos clássicos de priorização, amplia o leque de possíveis alvos atacáveis (incluindo empresas de médio porte que antes não eram atraentes para ataques avançados), gera um aumento exponencial da fraude e da engenharia social avançada, e provoca a perda de eficácia dos controles reativos e manuais.
A pressão recai agora sobre as organizações, que enfrentarão um panorama único em matéria de segurança cibernética, não apenas pela quantidade de novas vulnerabilidades esperadas nas próximas semanas e meses, mas pela insegurança que representa não contar com mecanismos suficientemente ágeis.
A KPMG destaca que, para a organização que não tomar medidas, essa própria decisão será um risco em si mesma, e que esse novo paradigma penaliza a lentidão, a falta de automação e a inoperacionalidade acumulada. Uma das respostas é a aposta em uma maior segmentação na organização, políticas de privilégios mínimos e detecção precoce.
A frase “defender-se do ataque da IA com a própria IA” é o lema da segurança cibernética atual, como o cenário no qual é preciso construir as barreiras suficientes para reduzir ao máximo os efeitos que o surgimento de vulnerabilidades possa ter na organização.
Entre elas estão a aceleração da capacidade de avaliação e correção, o reforço das camadas de defesa em profundidade, a análise focada em cadeias de ataque e não em vulnerabilidades isoladas, e o tratamento da IA como um novo vetor de risco operacional.
O setor bancário é um dos mais expostos a esse novo dilema, pois, por ser um ambiente puramente digital, combina alta digitalização, interconectividade extrema (conectado a APIs de milhares de lojas online, gateways de pagamento e aplicativos móveis) e pressão regulatória.
A KPMB recomenda reforçar a coerência “ponta a ponta” entre gestão de vulnerabilidades, Inteligência de Ameaças e processos de mudança em TI, e garante que os mecanismos atuais podem absorver um contexto de ameaças mais dinâmico e automatizado.
O mesmo ocorre no setor energético, onde, ao combinar infraestruturas críticas, ambientes OT, elevada interdependência operacional e ciclos de vida tecnológicos muito longos, a IA reduz drasticamente o esforço necessário para acelerar possíveis cenários de exploração com o objetivo de identificar pontos fracos.
A nova norma consiste em ações preventivas para reduzir a exposição antes que ocorram incidentes, conscientização contínua sobre riscos emergentes e acelerados pela IA, e uma forte integração entre segurança cibernética, tecnologia, aspectos jurídicos e riscos operacionais.
A implementação da IA é o eixo das medidas a serem tomadas, não apenas pelo uso de agentes baseados em grandes modelos de linguagem (LLM) para revisar código ou descobrir vulnerabilidades, mas por colocá-la a serviço das empresas e de suas equipes para melhorar a eficiência das equipes de segurança e aprimorar seu desempenho.
Esta notícia foi traduzida por um tradutor automático