Em um avanço relevante para a cibersegurança, a Anthropic revelou que sua iniciativa Project Glasswing identificou mais de 10 mil vulnerabilidades críticas e de alta gravidade em softwares amplamente utilizados. O volume chama atenção; ainda assim, o principal destaque está na qualidade das descobertas, incluindo milhares de falhas zero-day que permaneceram ocultas por anos.

Segundo a Anthropic, entre os casos mais emblemáticos estão uma vulnerabilidade com 27 anos no OpenBSD e um bug com 16 anos no FFmpeg. Ambas passaram despercebidas por décadas, apesar de auditorias rigorosas e ferramentas automatizadas. Dessa forma, o projeto sugere uma mudança estrutural na forma como vulnerabilidades são descobertas.

Como funciona o Project Glasswing

Lançado em 7 de abril de 2026, o  Projeto Glasswing  utiliza um modelo avançado de inteligência artificial chamado Claude Mythos Preview. A princípio, o objetivo é direto: analisar códigos e infraestruturas críticas em escala, a fim de identificar falhas difíceis de serem detectadas por métodos tradicionais.

De acordo com a empresa, o modelo demonstra capacidade não apenas de encontrar, mas também de explorar vulnerabilidades de forma autônoma. Por esse motivo, o acesso foi restrito. Em vez de disponibilizá-lo publicamente, a Anthropic formou uma coalizão com mais de 40 organizações, permitindo o uso exclusivamente para fins defensivos.

Além disso, a companhia destinou até US$ 100 milhões em créditos para uso do modelo. Ademais, cerca de US$ 4 milhões foram direcionados para melhorias de segurança em projetos de código aberto. Assim, a iniciativa busca fortalecer o ecossistema digital de forma ampla.

Dados divulgados entre 22 e 23 de maio de 2026 indicam que os parceiros já reportaram mais de 10 mil vulnerabilidades graves. Entre elas, milhares são classificadas como zero-day, ou seja, desconhecidas até então pelos desenvolvedores. Em outras palavras, trata-se de um nível de descoberta incomum na indústria.

Escala inédita de detecção automatizada

O desempenho do modelo reforça uma tendência clara. A inteligência artificial já supera métodos tradicionais em tarefas específicas de auditoria. Ainda assim, essa vantagem traz novos desafios operacionais, pois encontrar falhas em massa é apenas parte do problema.

Nesse contexto, o impacto também alcança setores ligados ao mercado cripto, onde a segurança de código é crítica. Projetos que lidam com ativos digitais dependem de sistemas robustos, e falhas ocultas podem gerar perdas relevantes.

O gargalo na correção das vulnerabilidades

Apesar da capacidade elevada de detecção, a correção não acompanha o mesmo ritmo. Até agora, menos de 100 vulnerabilidades identificadas receberam correções confirmadas. Como resultado, surge um descompasso entre descoberta e resolução.

Esse cenário evidencia um gargalo estrutural. Enquanto a IA acelera a identificação de problemas, a correção ainda depende de processos humanos, como revisão de código, testes e implementação segura.

Além disso, a presença de falhas antigas reforça a complexidade do desafio. No caso do OpenBSD, uma vulnerabilidade permaneceu ativa por quase três décadas. Já no FFmpeg, amplamente utilizado em aplicações de mídia, o bug persistiu por 16 anos. Assim, mesmo sistemas considerados maduros podem esconder riscos relevantes.

Limitações operacionais da indústria

Em contrapartida ao avanço tecnológico, a infraestrutura atual de segurança não está preparada para lidar com volumes tão altos de problemas. Como consequência, equipes de desenvolvimento enfrentam dificuldades para priorizar correções, o que pode prolongar riscos mesmo após a descoberta das falhas.

Ao mesmo tempo, cresce a pressão por respostas rápidas. Empresas precisam equilibrar velocidade e segurança, a fim de evitar novos erros durante o processo de correção. Portanto, o desafio é técnico e também organizacional.

Impactos estratégicos e riscos do uso de IA

O investimento significativo da Anthropic no Project Glasswing reflete uma preocupação crescente com o uso dual da inteligência artificial. Se por um lado, a tecnologia fortalece a defesa digital. Por outro, pode representar risco caso seja utilizada de forma maliciosa.

Portanto, a decisão de restringir o acesso ao Claude Mythos Preview se mostra estratégica. Ao manter o modelo em um ambiente controlado, a empresa busca equilibrar inovação e responsabilidade, além de fortalecer parcerias com organizações especializadas em segurança.

Em suma, os resultados do projeto indicam que a IA já redefine padrões de auditoria de software. Ao mesmo tempo, expõem limitações importantes da indústria. Entre milhares de vulnerabilidades identificadas e poucas efetivamente corrigidas, fica evidente que a próxima etapa exige evolução nos processos de resposta e mitigação.