Limitações da Anthropic para o acesso da IA: 99% de vulnerabilidades sem correção, defesa conjunta de 40 gigantes

A Anthropic anunciou que o seu novo modelo de IA universal Claude Mythos Preview já foi detetado com milhares de vulnerabilidades graves em sistemas operativos de referência, navegadores web e protocolos de criptografia, sendo que 99% ainda não foram corrigidas. Tendo em conta que os agentes maliciosos podem tirar partido desta funcionalidade, a Anthropic apenas a disponibiliza a parceiros selecionados, e simultaneamente arrancou com o «Project Glasswing» — um plano conjunto que envolve mais de 40 entidades.

As descobertas do Claude Mythos Preview: de vulnerabilidades antigas com 27 anos a fraquezas em protocolos de criptografia

(Fonte: PhoenixNAP)

O âmbito e a profundidade das vulnerabilidades detetadas pelo Claude Mythos Preview excedem em muito as expetativas da indústria. A Anthropic afirma que estas vulnerabilidades «são normalmente muito subtis ou difíceis de detetar», e que muitas permanecem no sistema há dezenas de anos, existindo falhas de segurança de elevada gravidade em todo o software de referência, incluindo todos os sistemas operativos e navegadores web mais usados.

As descobertas concretas incluem: uma vulnerabilidade latente há 27 anos no OpenBSD (já corrigida), a mais antiga até agora detetada; uma vulnerabilidade antiga de 16 anos na biblioteca de processamento multimédia FFmpeg; uma vulnerabilidade antiga de execução remota de código há 17 anos no sistema operativo FreeBSD; e numerosas vulnerabilidades no kernel Linux. As bibliotecas e os protocolos de criptografia mais amplamente utilizados no mundo também não ficaram imunes: foi detetada a existência de vulnerabilidades no TLS, AES-GCM e SSH. No que diz respeito às aplicações web, as vulnerabilidades abrangem vetores de ataque comuns como ataques de cross-site scripting (XSS), injeção SQL e falsificação de pedidos entre sites (CSRF).

Dado que 99% das vulnerabilidades detetadas ainda não foram corrigidas, a Anthropic declarou de forma explícita que não divulgará detalhes das vulnerabilidades: «Se divulgarmos detalhes sobre estas vulnerabilidades, isso seria irresponsável.»

Project Glasswing: uma rede de defesa preventiva com capacidade antecipatória entre 40 gigantes da tecnologia e das finanças

A Anthropic anunciou na terça-feira o arranque do «Project Glasswing», aplicando a capacidade de deteção de vulnerabilidades do Claude Mythos Preview de forma direcionada a fins defensivos, para que as correções sejam efetuadas antes de os agentes maliciosos explorarem as falhas, e para que os dados das vulnerabilidades sejam partilhados entre parceiros, permitindo uma defesa coordenada.

Principais entidades participantes no Project Glasswing

· Amazon Web Services

· Apple

· Cisco

· Google

· JPMorgan Chase

· Linux Foundation

· Microsoft

· NVIDIA

(um total de mais de 40 entidades participantes)

O contexto para o arranque deste projeto é o seguinte: o número de ataques à rede impulsionados por IA está a crescer a uma taxa de 72% ano após ano; prevê-se que, até 2025, 87% das organizações a nível mundial enfrentem ataques à rede impulsionados por IA. A Anthropic considera que uma resposta com capacidade antecipatória, potenciada por IA, é atualmente a opção mais sistemática.

Perspetiva a longo prazo: a capacidade de defesa acabará por assumir o papel dominante, mas o período de transição é cheio de desafios

A Anthropic sublinha que «a tarefa de proteger a infraestrutura de rede do mundo pode exigir vários anos», mas mantém uma cautela otimista em relação ao futuro a longo prazo, prevendo que «a capacidade de defesa acabará por assumir o papel dominante: o mundo ficará mais seguro, e o software também se tornará mais robusto — em grande parte, graças ao código escrito por estes modelos. Mas o período de transição será repleto de desafios.»

A Anthropic alerta também que, «dada a velocidade do desenvolvimento da IA, esta capacidade vai espalhar-se muito rapidamente, podendo ultrapassar o controlo daqueles que se dedicam à implementação segura», e este é o raciocínio central que limita o acesso ao Claude Mythos Preview.

Perguntas frequentes

Por que razão a Anthropic limita o acesso ao Claude Mythos Preview?

O Claude Mythos Preview já tem uma capacidade de descobrir e explorar vulnerabilidades de software que excede largamente a de quase todos os seres humanos. A Anthropic receia que, se esta capacidade se disseminar de forma generalizada, possa ser utilizada por agentes maliciosos para ataques de grande escala à rede. Por essa razão, a Anthropic decidiu disponibilizar este modelo apenas de forma direcionada a parceiros selecionados, para garantir que a capacidade é aplicada dentro de um âmbito controlável.

O que é o Project Glasswing?

O Project Glasswing é um plano de segurança defensiva de IA liderado pela Anthropic, que reúne mais de 40 entidades tecnológicas e financeiras. O projeto utiliza o Claude Mythos Preview para fazer uma varredura proativa de vulnerabilidades de segurança nos sistemas dos parceiros, de forma a realizar correções antes de os atacantes as explorarem, e partilha os dados das vulnerabilidades entre parceiros para alcançar uma defesa coordenada a nível sistémico.

As vulnerabilidades detetadas pelo Claude Mythos Preview já foram divulgadas publicamente?

A Anthropic afirma que, de entre as vulnerabilidades detetadas, 99% ainda não foram corrigidas. Por conseguinte, a empresa declara explicitamente que não irá divulgar os detalhes específicos das vulnerabilidades, para evitar fornecer caminhos de ataque a agentes maliciosos. Os casos já corrigidos incluem uma vulnerabilidade latente no OpenBSD com 27 anos de existência.