As Aventuras Épicas do Antropopiteco na Terra dos Mitos: Uma Análise de Segurança e Controle de IA
A ascensão e queda do modelo de IA Mythos da Anthropic revelam complexidades na cibersegurança, controle de exportação e a assimetria inerente entre ataque e defesa no cenário tecnológico atual.
MundiX News·13 de junho de 2026·7 min de leitura·👁 6 views
Havia, do outro lado do oceano, um Antropopiteco – uma criatura erudita, segura e ética, nada parecida com um Dr. Evil. Em seus aposentos secretos, ele desenvolveu um modelo sem precedentes, que batizou com o nome orgulhoso de Mythos. E o Mythos possuía a bravura de um herói épico: ele podia explorar qualquer fortaleza de software durante a noite, encontrando falhas onde ninguém as via há vinte e sete anos (um aceno para o OpenBSD, com sua resistência notável, como um bom uísque).
Ato Um. Cybermarketing através de Vazamentos Cibernéticos
No final de março, ocorreu um milagre. O site foi configurado de tal forma que três mil arquivos não publicados – rascunhos, PDFs, imagens – foram parar em um data lake público, aberto e indexável. Não foram hackers que os encontraram, mas sim indivíduos bem-intencionados da LayerX e de Cambridge, que simplesmente exploravam caminhos e espreitavam pelas janelas. A Fortune publicou a notícia. Nos rascunhos, lia-se: "o modelo apresenta riscos cibernéticos sem precedentes". A empresa que vende segurança auto-sabotou-se através de um site falho. Um belo começo: a história de capacidades cibernéticas sem precedentes começa com uma falha cibernética sem precedentes em sites gerados por modelos.
Ato Dois. Muito Marketing
Em 7 de abril – o lançamento triunfal. Claude Mythos Preview, projeto Glasswing, 100 milhões de dólares, onze titãs como parceiros (AWS, Apple, Cisco, Google, Microsoft, NVIDIA, Palo Alto e outros da lista), quarenta organizações selecionadas. Milhares, milhares de "zeros". Até 26 de maio – mais de 10.000 vulnerabilidades críticas em "software crítico". O chefe da Palo Alto chama isso de "a aliança cibernética mais importante desde a criação da CISA". Cortina, aplausos, queremos mais.
Ato Três. Vazamentos Reais de Acesso
Não eram rascunhos, mas sim uma API real, à qual as pessoas de alguma forma conseguiram acesso – através de parceiros e da "cadeia de suprimentos" – e a arquitetura pela qual a "proteção" do Mythos estava sendo transferida para o público. A espada foi forjada, mas as bainhas foram encomendadas separadamente, com entrega atrasada. Novamente – em todas as notícias, sem os porões da NSA ou outros horrores esperados em uma situação onde civis invadiram a Área 51.
Ato Quatro. O Filho de Frankenstein com Focinheira
Em 9 de junho, foi lançada a Fable 5 – a versão pública do Mythos, envolta em proteções até as sobrancelhas. E então as coisas começaram. A palavra "câncer" foi marcada como um bio-risco. A edição de um currículo de "Arquiteto de Segurança de Aplicações" foi recusada. Uma opinião sobre Musk e o próprio CEO da Amodei foi considerada "potencialmente perigosa". 200 de 200 tarefas do ProgramBench foram recusadas. Pessoas no Reddit reclamavam: "não é um lançamento de modelo, mas uma prévia da desigualdade da IA". Os usuários avançados fugiram para o Codex, para os concorrentes. A cada duas solicitações – "ai, ai, ai, perigoso", e você era silenciosamente redirecionado para um modelo mais antigo (não necessariamente mais sábio). O mais engraçado: as proteções foram inicialmente escondidas, depois admitiram que "fizeram a escolha errada" e prometeram exibir as recusas explicitamente. Ou seja, agora eles recusam, mas educadamente e com uma placa. A Kyken tem muitas dessas placas.
Ato Cinco. Auto-Banimento
O resultado: a ferramenta mais poderosa ficou disponível para quarenta eleitos por sua adesão ao clube, e para os outros – uma sombra pálida com focinheira, que bane o usuário mais rápido do que ele consegue terminar de escrever um prompt.
Ato Seis. O Disjuntor
Em 12 de junho, às 17:21, horário do leste dos EUA, foi mostrado o final, óbvio para qualquer um que já tenha jogado "jogos de classificação" com o governo. O governo dos EUA enviou uma diretiva de controle de exportação: desativar Fable 5 e Mythos 5 para todos os estrangeiros – dentro do país, fora do país, incluindo os próprios funcionários da Anthropic com passaportes incorretos. E como é impossível distinguir um estrangeiro de um cidadão na nuvem em tempo real – para evitar complicações, ambos os modelos foram desativados para todos os clientes. A razão? Segundo o próprio Antropopiteco, o governo "tomou conhecimento do método de contorno" da Fable. O método consistia em pedir ao modelo para ler a base de código e corrigir bugs. Foram encontradas algumas falhas pequenas e antigas, que, como a própria empresa admite honestamente, são facilmente encontradas pelo GPT-5.5 público e por qualquer caçador de bugs dedicado diariamente. Por causa disso, o modelo comercial, utilizado por centenas de milhões de pessoas, foi retirado. O Antropopiteco educadamente discorda, pede desculpas aos clientes e promete corrigir tudo, é claro. A espada forjada contra hackers provou ser de dois gumes: treinar e testar seus Mitos e Lendas às custas dos usuários não será mais possível. Na verdade, isso é um golpe nas próprias capacidades cibernéticas dos EUA – mas quem vai se importar em analisar isso?
Por que tudo isso?
Primeiro – é a assimetria clássica. A espada está sempre à frente do escudo. Encontrar uma falha é mais barato e rápido do que corrigi-la – isso não é uma opinião, é matemática. Os manuais de combate afirmam claramente: "o ataque é o principal tipo de combate", e as doutrinas da maioria dos estados dão preferência ao ataque em detrimento da defesa. O Mythos simplesmente digitalizou uma velha verdade: os "vermelhos" fogem, os "azuis" perseguem, e os azuis sempre perseguem com atraso. E enquanto quarenta organizações corrigem 10.000 falhas – só podemos adivinhar quais softwares do registro de software nacional estão "em preparação" para eles. Afinal, não se preparam apenas os próprios.
Segundo – "IA com passaporte" ganhou corpo literalmente. Antes, as restrições geográficas eram brandas: isso é permitido, ali não, mas não é certo e está no EULA. Depois, vieram as restrições temáticas – acesso ao real mediante adesão ao Glasswing, menos recusas com certificado do Cyber Verification Program, e para o público um castrado que tem medo da palavra "câncer". E em 12 de junho, tudo se tornou extremamente honesto: seu acesso à IA é determinado não pela lei do seu país, nem pelas suas tarefas, mas por uma linha no seu passaporte e por uma diretiva de um governo estrangeiro que pode desligar o disjuntor em quinze minutos, citando segurança nacional e sem explicar os detalhes. O que você pode saber não é decidido pelo seu regulador, nem mesmo por uma empresa estrangeira. É decidido por um estado estrangeiro.
Conclusão
A conclusão é simples e sombria. Um país que se preocupa com seu ciberespaço precisa parar de esperar que lhe entreguem uma focinheira do tamanho certo – e depois que a focinheira seja retirada bem no meio de P&D, por fax às 17:21. Construir data centers. Desenvolver seus próprios modelos. Escrever seus próprios Mitos e Lendas – porque a espada de outra pessoa não será emprestada a você, o escudo de outra pessoa chegará com atraso e com uma placa de "perigoso", e o disjuntor ainda permanecerá na mão de outra pessoa.
Esses são os bolinhos de peixe com pipas. Só que desta vez as pipas procuram por zero-days, e são guiadas por um documento – não importa o quanto balancem suas caudas, bigodes e patas.
Havia, do outro lado do oceano, um Antropopiteco – uma criatura erudita, segura e ética, nada parecida com um Dr. Evil. Em seus aposentos secretos, ele desenvolveu um modelo sem precedentes, que batizou com o nome orgulhoso de Mythos. E o Mythos possuía a bravura de um herói épico: ele podia explorar qualquer fortaleza de software durante a noite, encontrando falhas onde ninguém as via há vinte e sete anos (um aceno para o OpenBSD, com sua resistência notável, como um bom uísque).
Ato Um. Cybermarketing através de Vazamentos Cibernéticos
No final de março, ocorreu um milagre. O site foi configurado de tal forma que três mil arquivos não publicados – rascunhos, PDFs, imagens – foram parar em um data lake público, aberto e indexável. Não foram hackers que os encontraram, mas sim indivíduos bem-intencionados da LayerX e de Cambridge, que simplesmente exploravam caminhos e espreitavam pelas janelas. A Fortune publicou a notícia. Nos rascunhos, lia-se: "o modelo apresenta riscos cibernéticos sem precedentes". A empresa que vende segurança auto-sabotou-se através de um site falho. Um belo começo: a história de capacidades cibernéticas sem precedentes começa com uma falha cibernética sem precedentes em sites gerados por modelos.
Ato Dois. Muito Marketing
Em 7 de abril – o lançamento triunfal. Claude Mythos Preview, projeto Glasswing, 100 milhões de dólares, onze titãs como parceiros (AWS, Apple, Cisco, Google, Microsoft, NVIDIA, Palo Alto e outros da lista), quarenta organizações selecionadas. Milhares, milhares de "zeros". Até 26 de maio – mais de 10.000 vulnerabilidades críticas em "software crítico". O chefe da Palo Alto chama isso de "a aliança cibernética mais importante desde a criação da CISA". Cortina, aplausos, queremos mais.
Ato Três. Vazamentos Reais de Acesso
Não eram rascunhos, mas sim uma API real, à qual as pessoas de alguma forma conseguiram acesso – através de parceiros e da "cadeia de suprimentos" – e a arquitetura pela qual a "proteção" do Mythos estava sendo transferida para o público. A espada foi forjada, mas as bainhas foram encomendadas separadamente, com entrega atrasada. Novamente – em todas as notícias, sem os porões da NSA ou outros horrores esperados em uma situação onde civis invadiram a Área 51.
Ato Quatro. O Filho de Frankenstein com Focinheira
Em 9 de junho, foi lançada a Fable 5 – a versão pública do Mythos, envolta em proteções até as sobrancelhas. E então as coisas começaram. A palavra "câncer" foi marcada como um bio-risco. A edição de um currículo de "Arquiteto de Segurança de Aplicações" foi recusada. Uma opinião sobre Musk e o próprio CEO da Amodei foi considerada "potencialmente perigosa". 200 de 200 tarefas do ProgramBench foram recusadas. Pessoas no Reddit reclamavam: "não é um lançamento de modelo, mas uma prévia da desigualdade da IA". Os usuários avançados fugiram para o Codex, para os concorrentes. A cada duas solicitações – "ai, ai, ai, perigoso", e você era silenciosamente redirecionado para um modelo mais antigo (não necessariamente mais sábio). O mais engraçado: as proteções foram inicialmente escondidas, depois admitiram que "fizeram a escolha errada" e prometeram exibir as recusas explicitamente. Ou seja, agora eles recusam, mas educadamente e com uma placa. A Kyken tem muitas dessas placas.
Ato Cinco. Auto-Banimento
O resultado: a ferramenta mais poderosa ficou disponível para quarenta eleitos por sua adesão ao clube, e para os outros – uma sombra pálida com focinheira, que bane o usuário mais rápido do que ele consegue terminar de escrever um prompt.
Ato Seis. O Disjuntor
Em 12 de junho, às 17:21, horário do leste dos EUA, foi mostrado o final, óbvio para qualquer um que já tenha jogado "jogos de classificação" com o governo. O governo dos EUA enviou uma diretiva de controle de exportação: desativar Fable 5 e Mythos 5 para todos os estrangeiros – dentro do país, fora do país, incluindo os próprios funcionários da Anthropic com passaportes incorretos. E como é impossível distinguir um estrangeiro de um cidadão na nuvem em tempo real – para evitar complicações, ambos os modelos foram desativados para todos os clientes. A razão? Segundo o próprio Antropopiteco, o governo "tomou conhecimento do método de contorno" da Fable. O método consistia em pedir ao modelo para ler a base de código e corrigir bugs. Foram encontradas algumas falhas pequenas e antigas, que, como a própria empresa admite honestamente, são facilmente encontradas pelo GPT-5.5 público e por qualquer caçador de bugs dedicado diariamente. Por causa disso, o modelo comercial, utilizado por centenas de milhões de pessoas, foi retirado. O Antropopiteco educadamente discorda, pede desculpas aos clientes e promete corrigir tudo, é claro. A espada forjada contra hackers provou ser de dois gumes: treinar e testar seus Mitos e Lendas às custas dos usuários não será mais possível. Na verdade, isso é um golpe nas próprias capacidades cibernéticas dos EUA – mas quem vai se importar em analisar isso?
Por que tudo isso?
Primeiro – é a assimetria clássica. A espada está sempre à frente do escudo. Encontrar uma falha é mais barato e rápido do que corrigi-la – isso não é uma opinião, é matemática. Os manuais de combate afirmam claramente: "o ataque é o principal tipo de combate", e as doutrinas da maioria dos estados dão preferência ao ataque em detrimento da defesa. O Mythos simplesmente digitalizou uma velha verdade: os "vermelhos" fogem, os "azuis" perseguem, e os azuis sempre perseguem com atraso. E enquanto quarenta organizações corrigem 10.000 falhas – só podemos adivinhar quais softwares do registro de software nacional estão "em preparação" para eles. Afinal, não se preparam apenas os próprios.
Segundo – "IA com passaporte" ganhou corpo literalmente. Antes, as restrições geográficas eram brandas: isso é permitido, ali não, mas não é certo e está no EULA. Depois, vieram as restrições temáticas – acesso ao real mediante adesão ao Glasswing, menos recusas com certificado do Cyber Verification Program, e para o público um castrado que tem medo da palavra "câncer". E em 12 de junho, tudo se tornou extremamente honesto: seu acesso à IA é determinado não pela lei do seu país, nem pelas suas tarefas, mas por uma linha no seu passaporte e por uma diretiva de um governo estrangeiro que pode desligar o disjuntor em quinze minutos, citando segurança nacional e sem explicar os detalhes. O que você pode saber não é decidido pelo seu regulador, nem mesmo por uma empresa estrangeira. É decidido por um estado estrangeiro.
Conclusão
A conclusão é simples e sombria. Um país que se preocupa com seu ciberespaço precisa parar de esperar que lhe entreguem uma focinheira do tamanho certo – e depois que a focinheira seja retirada bem no meio de P&D, por fax às 17:21. Construir data centers. Desenvolver seus próprios modelos. Escrever seus próprios Mitos e Lendas – porque a espada de outra pessoa não será emprestada a você, o escudo de outra pessoa chegará com atraso e com uma placa de "perigoso", e o disjuntor ainda permanecerá na mão de outra pessoa.
Esses são os bolinhos de peixe com pipas. Só que desta vez as pipas procuram por zero-days, e são guiadas por um documento – não importa o quanto balancem suas caudas, bigodes e patas.
