Da NDA ao disclosure: a virada da Anthropic sobre o Claude Mythos
Quando a Anthropic lançou o Project Glasswing em abril de 2026, a regra era clara: sigilo total. Organizações com acesso ao Claude Mythos Preview precisavam assinar termos de confidencialidade proibindo o compartilhamento de qualquer descoberta — vulnerabilidades encontradas, exploits encadeados, metodologias desenvolvidas.
A justificativa era razoável: divulgar brechas antes de corrigi-las criaria uma janela para atores maliciosos explorarem os mesmos vetores. Mas a política rapidamente gerou críticas dentro e fora do governo americano.
O representante democrata Josh Gottheimer pressionou publicamente: "Nenhuma entidade deveria ser contratualmente impedida de alertar terceiros, coordenar mitigações ou informar outros sobre riscos cibernéticos urgentes." O argumento era paradoxal: a política de Claude Mythos disclosure restrita estava criando, ela mesma, um risco de segurança sistêmico ao manter descobertas críticas em silos corporativos.
O que mudou na política do Project Glasswing
Em maio de 2026, a Anthropic anunciou a revisão dos acordos de usuário. Um porta-voz da empresa explicou que "as proteções de confidencialidade foram pedidas pelos parceiros no início" e que o programa "amadureceu" ao ponto de exigir que informações "possam ser compartilhadas amplamente".
Concretamente, as organizações do Project Glasswing agora podem realizar Claude Mythos disclosure para:
- Equipes de segurança de outras empresas
- Organizações industriais e setoriais
- Reguladores e agências governamentais
- Mantenedores de software open source
- Mídia e o público em geral
A única condição: respeitar os padrões de responsible disclosure — notificar os fornecedores afetados antes da divulgação pública, dando tempo para correção.
Cloudflare sai na frente: encadeando falhas baixas em alta severidade
O primeiro sinal público do impacto da mudança veio do CISO da Cloudflare, Grant Bourzikas, que publicou descobertas sobre como o Claude Mythos consegue encadear vulnerabilidades individuais de baixa severidade em ataques de alta severidade — algo que sistemas de detecção convencionais geralmente não percebem, por analisarem ameaças de forma isolada.
O resultado prático: vulnerabilidades que seriam descartadas em uma auditoria convencional se tornam críticas quando analisadas em conjunto. O Claude Mythos muda fundamentalmente o que significa "fazer uma auditoria de segurança completa".
A OpenAI também lançou o programa Daybreak — uma alternativa menos restritiva que permite participação mais ampla e divulgação pública desde o início. A concorrência entre os dois modelos de governance está acelerando a tendência de maior transparência no setor.
Por que isso importa para o seu negócio
A Claude Mythos disclosure tem implicações diretas para qualquer empresa que usa IA ou depende de infraestrutura digital:
Para equipes de segurança: o ecossistema de vulnerabilidades encontradas pelo Mythos vai chegar ao mercado público de threat intelligence. Organizações que assinam feeds de segurança e participam de comunidades como CISA, CVE e ISACs terão acesso a descobertas que antes ficavam restritas a 40 grandes corporações.
Para PMEs e startups: a responsible disclosure significa que patches virão mais rápido para vulnerabilidades em sistemas operacionais e browsers amplamente usados. O ciclo de atualização de segurança vai acelerar — o que exige processos internos de patch management mais ágeis.
Para gestores de produto: a pressão do Congresso americano e a mudança de política da Anthropic sinalizam uma tendência global de regulamentação de segurança de IA. Empresas que desenvolvem produtos usando APIs de IA precisarão, em breve, demonstrar como monitoram e respondem a descobertas de segurança feitas pelos modelos que utilizam.
O modelo de "sigilo estratégico" para IA ofensiva está se tornando insustentável. A velocidade das descobertas do Claude Mythos — combinada com pressão de reguladores, legisladores e concorrentes — está forçando uma nova norma de transparência que vai remodelar como a segurança cibernética funciona na era da IA.
Conteúdo reescrito e traduzido para PT pela redação luiscortex, revisado por humano.
Fonte: Gizmodo
Em números: pesquisas do setor indicam que a divulgação coordenada reduz em 60% o tempo médio de mitigação comparado ao sigilo total. E 40% das vulnerabilidades em projetos open-source deixam de ser corrigidas quando pesquisadores não conseguem alertar mantenedores — exatamente o cenário que a NDA original criava.





