Da NDA ao disclosure: a virada da Anthropic sobre o Claude Mythos

Quando a Anthropic lançou o Project Glasswing em abril de 2026, a regra era clara: sigilo total. Organizações com acesso ao Claude Mythos Preview precisavam assinar termos de confidencialidade proibindo o compartilhamento de qualquer descoberta — vulnerabilidades encontradas, exploits encadeados, metodologias desenvolvidas.

A justificativa era razoável: divulgar brechas antes de corrigi-las criaria uma janela para atores maliciosos explorarem os mesmos vetores. Mas a política rapidamente gerou críticas dentro e fora do governo americano.

O representante democrata Josh Gottheimer pressionou publicamente: "Nenhuma entidade deveria ser contratualmente impedida de alertar terceiros, coordenar mitigações ou informar outros sobre riscos cibernéticos urgentes." O argumento era paradoxal: a política de Claude Mythos disclosure restrita estava criando, ela mesma, um risco de segurança sistêmico ao manter descobertas críticas em silos corporativos.

O que mudou na política do Project Glasswing

Em maio de 2026, a Anthropic anunciou a revisão dos acordos de usuário. Um porta-voz da empresa explicou que "as proteções de confidencialidade foram pedidas pelos parceiros no início" e que o programa "amadureceu" ao ponto de exigir que informações "possam ser compartilhadas amplamente".

Concretamente, as organizações do Project Glasswing agora podem realizar Claude Mythos disclosure para:

  • Equipes de segurança de outras empresas
  • Organizações industriais e setoriais
  • Reguladores e agências governamentais
  • Mantenedores de software open source
  • Mídia e o público em geral

A única condição: respeitar os padrões de responsible disclosure — notificar os fornecedores afetados antes da divulgação pública, dando tempo para correção.

Cloudflare sai na frente: encadeando falhas baixas em alta severidade

O primeiro sinal público do impacto da mudança veio do CISO da Cloudflare, Grant Bourzikas, que publicou descobertas sobre como o Claude Mythos consegue encadear vulnerabilidades individuais de baixa severidade em ataques de alta severidade — algo que sistemas de detecção convencionais geralmente não percebem, por analisarem ameaças de forma isolada.

O resultado prático: vulnerabilidades que seriam descartadas em uma auditoria convencional se tornam críticas quando analisadas em conjunto. O Claude Mythos muda fundamentalmente o que significa "fazer uma auditoria de segurança completa".

A OpenAI também lançou o programa Daybreak — uma alternativa menos restritiva que permite participação mais ampla e divulgação pública desde o início. A concorrência entre os dois modelos de governance está acelerando a tendência de maior transparência no setor.

Por que isso importa para o seu negócio

A Claude Mythos disclosure tem implicações diretas para qualquer empresa que usa IA ou depende de infraestrutura digital:

Para equipes de segurança: o ecossistema de vulnerabilidades encontradas pelo Mythos vai chegar ao mercado público de threat intelligence. Organizações que assinam feeds de segurança e participam de comunidades como CISA, CVE e ISACs terão acesso a descobertas que antes ficavam restritas a 40 grandes corporações.

Para PMEs e startups: a responsible disclosure significa que patches virão mais rápido para vulnerabilidades em sistemas operacionais e browsers amplamente usados. O ciclo de atualização de segurança vai acelerar — o que exige processos internos de patch management mais ágeis.

Para gestores de produto: a pressão do Congresso americano e a mudança de política da Anthropic sinalizam uma tendência global de regulamentação de segurança de IA. Empresas que desenvolvem produtos usando APIs de IA precisarão, em breve, demonstrar como monitoram e respondem a descobertas de segurança feitas pelos modelos que utilizam.

O modelo de "sigilo estratégico" para IA ofensiva está se tornando insustentável. A velocidade das descobertas do Claude Mythos — combinada com pressão de reguladores, legisladores e concorrentes — está forçando uma nova norma de transparência que vai remodelar como a segurança cibernética funciona na era da IA.


Conteúdo reescrito e traduzido para PT pela redação luiscortex, revisado por humano.

Fonte: Gizmodo

Em números: pesquisas do setor indicam que a divulgação coordenada reduz em 60% o tempo médio de mitigação comparado ao sigilo total. E 40% das vulnerabilidades em projetos open-source deixam de ser corrigidas quando pesquisadores não conseguem alertar mantenedores — exatamente o cenário que a NDA original criava.