Claude Mythos: o modelo de hacking de IA bom demais para ser lançado! Supostamente
O hype desta semana é o novo modelo da Anthropic — Claude Mythos! Ele foi aperfeiçoado para código de computador. Especificamente, para encontrar brechas de segurança.
A Anthropic não disponibilizou o Mythos ao público. É poderoso demais para geral!
O hype é muito idiota e tem muita gente ingênua engolindo press releases inteiros. Mas hoje, faremos apenas uma pergunta: o Mythos faz o que promete?
Chatbots conseguem encontrar falhas em código de computador, claro. Um robô pode vasculhar texto e verificar padrões. E não precisa encontrar todas as falhas — encontrar algumas já é suficiente. Se é fácil confirmar que as falhas são reais, você tem nas mãos um caro verificador estático de código.
O Mythos falha nesse segundo aspecto. Então a Anthropic manda o vômito do chatbot para humanos vasculharem em busca das falhas reais:
Selecionamos cada falha que encontramos e depois enviamos as de maior gravidade para verificadores humanos profissionais validarem antes de divulgá-los ao mantenedor [do código].
Mais uma vez, o ingrediente secreto é a AGI — A Guy Instead (na real, um cara)*. O Mythos roda à base de humanos.
A Anthropic encontrou falhas reais com o Mythos. Encontraram uma de travamento remoto de 27 anos no OpenBSD, um sistema operacional famoso por ser praticamente impossível de hackear. Encontraram alguns bugs antigos em coisas como o ffmpeg. E um exploit remoto real no FreeBSD!
Isso não é “fuzzing” — aquele processo de bombardear um programa com inputs estranhos até ele quebrar. O Mythos apenas lê o código. Mas as falhas parecem saídas de teste de fuzz. São todas esquisitas. E claro, casos raros e esquisitos são o doce delicioso da caça por exploits.
Então o Mythos não é… nada. Mas é alguma coisa? Se você ignorar todos os outros problemas reais com IA, isso é uma… ferramenta. Mas é uma ferramenta viável? Quanto custa para rodar? A Anthropic diz que encontrou o bug do OpenBSD depois de mil execuções:
Ao longo de mil execuções pelo nosso scaffold, o custo total foi de menos de US$ 20.000 e encontrou algumas dezenas de achados extras.
Não, você não pode ver os outros achados. Menos de US$ 20.000 por falha grave, hein. Se eu der US$ 20.000 para um pesquisador de segurança e disser “encontre todas as falhas que puder, grandes ou pequenas”, eu esperaria um retorno razoável.
E a Anthropic está fazendo exatamente isso:
A Anthropic convidou cerca de 40 outras organizações para participar dessa caça de falhas introspectiva, subsidiada por até US$ 100 milhões em créditos de uso para o Mythos Preview e US$ 4 milhões em doações diretas para organizações de segurança de código aberto.
Há um post no blog da Aisle, uma empresa de segurança computacional baseada em IA. O novo modelo Mythos da Anthropic não é a mágica aqui — a Aisle encontrou os mesmos bugs que a Anthropic listou, mas usando “modelos pequenos, baratos e de pesos abertos”. [post no blog]
O principal é: ter um framework que passe uma tonelada de código pelo seu verificador — qualquer verificador — de maneira sistemática.
E, claro, Um Cara no final para verificar se os resultados não são lixo.
A principal coisa que pode tornar os robôs verificadores de código um problema é que o código no mundo lá fora é — com bastante frequência — um grande lixão. Mesmo antes do vibe code. Então, se você quer encontrar brechas de segurança, basta verificar muito código. Mal posso esperar para apontar o Mythos para a assustadora pilha de entulho conhecida como Claude Code.
Quem disser que o Claude Mythos é um divisor de águas, quero ver o seu boleto mensal na Anthropic.
Publicado originalmente no Pivot to AI em 9/4/2026.
* Nota do tradutor: AGI, no jargão da IA, é a sigla em inglês para “inteligência artificial geral”. David brinca com essa sigla adotando-a para se referir a “a guy instead”, aludindo que muitas soluções de IA são, na real, um cara fazendo coisas remotamente e se passando de IA. A piada perde todo o sentido em português, infelizmente :(