Pesquisadores da Mozilla relataram em março que Claude Opus 4.6 da Anthropic identificou 14 bugs de alta gravidade e 22 vulnerabilidades e exposições comuns (CVEs) ao longo de duas semanas, superando o desempenho da equipe humana da Mozilla. Depois disso, pesquisadores da empresa de segurança cibernética de Palo Alto, Califórnia, alegaram que utilizaram uma versão de teste do modelo Mythos da Anthropic para contornar a tecnologia de segurança do Apple macOS.
Os pesquisadores da Califórnia informaram ao The Wall Street Journal que executaram uma “exploração de escalonamento de privilégios” combinada com outro vetor de ataque, permitindo o controle potencial sobre um dispositivo alvo. Eles desenvolveram um software que vinculava dois bugs distintos e usavam métodos adicionais para corromper a memória de um Mac e acessar áreas restritas do dispositivo.
A descoberta da exploração levou cinco dias, e os pesquisadores notaram que o sucesso dependia não apenas do Mythos, mas também das habilidades dos testadores humanos. A Apple está atualmente revisando as descobertas do relatório, com um porta-voz afirmando: “A segurança é nossa principal prioridade e levamos muito a sério os relatórios de vulnerabilidades potenciais”.
A Anthropic lançou o Mythos, originalmente chamado de Projeto Glasswing, em abril, concedendo acesso a cerca de 40 empresas de tecnologia selecionadas. A empresa afirmou que a Mythos identificou milhares de vulnerabilidades de alta gravidade nos principais sistemas operacionais e navegadores da web, alertando sobre consequências graves se tais ferramentas forem mal utilizadas.
Michał Zalewski, pesquisador de segurança do Google, revisou a pesquisa na Califórnia, mas não testou as descobertas. Ele comentou sobre o entusiasmo em torno do Mythos, descrevendo-o como possivelmente “exagerado”, mas reconheceu sua capacidade para pesquisas significativas de vulnerabilidades e auditoria de código.
Surgiram preocupações em relação à distribuição do Mythos. Gary McGraw, ex-vice-presidente da Synopsys, comentou ao The New York Times que a tecnologia em si não é muito perigosa para ser lançada. Ele enfatizou que a retenção de tais ferramentas não aborda as questões centrais da segurança cibernética.
