O Claude Mythos, modelo de inteligência artificial revelado pela Anthropic em abril de 2026, provocou um reboliço e acendeu alertas no setor financeiro e em agências reguladoras do mundo inteiro. É que a fabricante afirma que a nova ferramenta, ainda em versão preview, supera humanos em ataques de hacking.

A tecnologia do Mythos opera, na prática, como um verdadeiro “hacker automatizado”, capaz de analisar códigos, detectar falhas e sugerir formas de exploração. Mais do que executar o que apenas especialistas faziam, a nova ferramenta faz isso mais rápido e em uma escala inédita.

De acordo com a Anthropic, os chamados “red teams” — grupos especializados em testar sistemas como se fossem invasores cibernéticos reais — conseguiram localizar bugs escondidos em códigos com décadas de existência e explorá-los com facilidade. Uma dessas vulnerabilidades permanecia ativa há 27 anos sem ter sido detectada.

O “balanço” divulgado pela empresa impressiona: foram identificadas mais de 10 mil vulnerabilidades de alta ou crítica gravidade, incluindo mais de 6 mil em projetos de código aberto. O modelo também encontrou falhas em todos os principais sistemas operacionais e navegadores web do mercado.

Como o Mythos chegou na frente — e as capacidades que ele tem serão eventualmente replicadas por outros modelos —, a Anthropic decidiu conceder acesso da ferramenta para 12 big techs (entre as quais AWS, Apple, Microsoft, Google e Nvidia), mais de 40 fabricantes de softwares de infraestrutura crítica e 150 instituições em setores como energia, água, saúde e comunicações.

Por que o Claude Mythos preocupa bancos e reguladores financeiros?

Em abril, o tema foi pauta de uma reunião do Fundo Monetário Internacional (FMI) em Washington. Em entrevista à BBC, o ministro das Finanças do Canadá, François-Philippe Champagne, declarou que o assunto merecia a atenção de todos os ministros das Finanças do mundo.

A preocupação se justifica: segundo especialistas e o próprio FMI, o setor financeiro é um dos mais expostos a esse tipo de risco. Bancos operam sistemas complexos e, muitas vezes, antigos, que podem conter falhas difíceis de detectar manualmente. Com os avanços acelerados da IA, a janela para corrigi-las se estreita cada vez mais.

Antes do Mythos, encontrar brechas em um sistema complexo exigia um hacker humano altamente especializado, trabalhando durante horas ou dias — uma tarefa limitada por tempo, dinheiro e talento. Entretanto, a nova IA executa o mesmo trabalho em minutos e consegue operar em paralelo em vários sistemas ao mesmo tempo.

Além disso, bancos, fintechs, seguradoras e governos não operam cada um em sua própria infraestrutura isolada. Todos usam os mesmos provedores de nuvem (AWS, Azure, Google Cloud), os mesmos sistemas operacionais, as mesmas bibliotecas de código aberto. Portanto, uma vulnerabilidade nessas camadas compartilhadas afeta centenas de instituições ao mesmo tempo.

O Claude Mythos é realmente uma ameaça real à cibersegurança?

Especialistas independentes — que ainda não puderam testar o modelo por conta própria — têm dúvidas quanto à magnitude da ameaça e sobre o quanto o alarmismo serve também a uma estratégia de marketing muito bem construída.

Entre esses céticos, o Instituto de Segurança em IA do Reino Unido concluiu que o Mythos é poderoso contra sistemas mal protegidos — ou seja, infraestruturas velhas, sem atualização, com vulnerabilidades conhecidas e não corrigidas. Mas a organização reconhece que não conseguiu confirmar se a IA seria capaz de atacar sistemas bem protegidos.

Em outras palavras, os experts britânicos ponderam que, antes de entrar em pânico, as pessoas devem aguardar evidências independentes, uma vez que é do interesse comercial da Anthropic, por meio do Project Glasswing, usar o Mythos para se defender dele próprio. A estratégia é conhecida no setor de tecnologia como problema-solução proprietário.

Contudo, o fato de haver um interesse comercial óbvio não significa que a ameaça seja falsa. As duas hipóteses podem ser verdadeiras: o Mythos pode de fato ser perigoso e a Anthropic pode estar capitalizando sobre esse perigo de forma calculada.

O problema é que, no setor financeiro, toda aposta tem uma fatura — e ela raramente chega para quem a propôs.

Nova rede social usa IA para organizar debates; conheça o PapoLegal