Página inicial
Notícias
Detalhes

Anthropic lança projeto Project Glasswing de US$ 100 milhões com 12 gigantes de tecnologia para corrigir vulnerabilidades de software globais

iconTechFlow
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumo

expand icon
A Anthropic anunciou o Project Glasswing, uma iniciativa de US$ 100 milhões com AWS, Apple, Google, Microsoft, NVIDIA e outras nove gigantes de tecnologia para enfrentar vulnerabilidades de software globais. O projeto utiliza o modelo de IA da Anthropic, Claude Mythos Preview, para detectar e corrigir falhas críticas antes da exploração. A empresa está oferecendo US$ 100 milhões em créditos de uso do modelo e US$ 4 milhões em suporte direto a grupos de segurança de código aberto. O modelo já descobriu milhares de vulnerabilidades zero-day em principais sistemas operacionais e navegadores, algumas datando de décadas atrás. O anúncio do projeto destaca um esforço mais amplo para garantir a infraestrutura digital, alinhando-se às discussões globais em andamento sobre políticas de criptomoedas.

Autor: Anthropic

Compilado: Deep潮 TechFlow

Leitura profunda da Shenchao: Anthropic lançou um modelo avançado ainda não publicado, Claude Mythos Preview, cuja capacidade de auditoria de código já supera a maioria dos especialistas em segurança humanos, conseguindo descobrir automaticamente vulnerabilidades zero-day existentes há décadas.

Com base nessa capacidade, a Anthropic, em parceria com a AWS, Apple, Google, Microsoft, NVIDIA e outras 12 grandes empresas de tecnologia, lançou o projeto Project Glasswing, investindo um crédito de 100 milhões de dólares com o objetivo de fechar vulnerabilidades em software crítico global antes que atacantes adquiram capacidades equivalentes.

Introdução

Hoje anunciamos o Project Glasswing, uma nova iniciativa que reúne Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks com o objetivo de proteger a segurança do software mais crítico do mundo.

Iniciamos o Project Glasswing porque um novo modelo de ponta treinado pela Anthropic demonstrou capacidades que acreditamos poderem redefinir o cenário da segurança cibernética. O Claude Mythos Preview é um modelo de ponta geral e ainda não lançado, que revela um fato cruel: as capacidades de codificação dos modelos de IA atingiram um nível em que podem superar todos, exceto os especialistas mais顶尖.

Mythos Preview já descobriu milhares de vulnerabilidades críticas, abrangendo cada sistema operacional principal e cada navegador principal. Na velocidade atual de avanço da IA, essa capacidade se espalhará em um futuro próximo e pode cair nas mãos de usuários irresponsáveis. O impacto sobre a economia, a segurança pública e a segurança nacional pode ser muito grave. O Project Glasswing é uma tentativa urgente de priorizar essas capacidades para defesa.

Como parte do Project Glasswing, os parceiros acima utilizarão o Mythos Preview em seus trabalhos de segurança defensiva; a Anthropic compartilhará as lições aprendidas para beneficiar toda a indústria. Também abrimos o acesso a mais de 40 organizações que constroem ou mantêm infraestrutura de software crítica, permitindo que elas escaneiem e fortaleçam seus próprios sistemas e sistemas de código aberto. A Anthropic compromete-se a fornecer até US$ 100 milhões em créditos de uso do Mythos Preview e US$ 4 milhões em doações diretas a organizações de segurança de código aberto.

Project Glasswing é apenas o começo. Nenhuma instituição pode resolver sozinha os problemas de segurança cibernética: desenvolvedores de IA de ponta, outras empresas de software, pesquisadores de segurança, mantenedores de código aberto e governos de todo o mundo desempenham papéis indispensáveis. Defender a infraestrutura cibernética global pode levar anos; já as capacidades de IA de ponta podem avançar significativamente nos próximos meses. Para obter vantagem, os defensores cibernéticos devem agir agora.

Segurança cibernética na era da IA

Os softwares nos quais confiamos diariamente — que executam sistemas bancários, armazenam registros médicos, conectam redes logísticas e mantêm as redes elétricas funcionando — sempre têm bugs. A maioria é insignificante, mas alguns são falhas de segurança graves que, uma vez descobertas, permitem que atacantes se apoderem dos sistemas, paralisem operações ou roubem dados.

Os ataques cibernéticos já demonstraram consequências destrutivas para redes corporativas, sistemas médicos, infraestruturas energéticas, infraestruturas de transporte e governosinstituições de diversos países. Em nível global, ataques patrocinados por estados da China, Irã, Coreia do Norte e Rússia ameaçaram infraestruturas essenciais para a vida civil e a preparação militar. Mesmo ataques de pequena escala contra um único hospital ou escola podem causar grandes perdas econômicas, expor dados sensíveis e até colocar vidas em risco. As perdas econômicas anuais globais decorrentes do cibercrime são difíceis de estimar com precisão, mas podem estar em torno de 500 bilhões de dólares.

No passado, muitos defeitos de software permaneceram não detectados por anos, pois descobrir e explorá-los exigia conhecimentos especializados apenas disponíveis a um número muito reduzido de especialistas em segurança. Mas com o surgimento dos mais recentes modelos de IA de ponta, o custo, o esforço e a barreira técnica necessários para descobrir e explorar vulnerabilidades de software foram drasticamente reduzidos. No último ano, os modelos de IA tornaram-se cada vez mais proficientes em ler e raciocinar sobre código, especialmente na descoberta de vulnerabilidades e na construção de explorações, demonstrando desempenho surpreendente. O Claude Mythos Preview alcançou um avanço significativo nessas habilidades de cibersegurança — algumas das vulnerabilidades que ele descobriu sobreviveram por décadas de revisão humana e milhões de testes de segurança automatizados, e seus códigos de exploração tornaram-se cada vez mais sofisticados.

Dez anos após o primeiro DARPA Cyber Grand Challenge, modelos de IA de ponta estão se aproximando ou até igualando a capacidade humana de identificar e explorar vulnerabilidades. Sem as medidas de segurança necessárias, essas poderosas capacidades cibernéticas podem ser usadas para explorar as inúmeras falhas existentes nos softwares mais importantes do mundo. Ataques cibernéticos se tornarão mais frequentes, mais destrutivos e fortalecerão os adversários dos Estados Unidos e de seus aliados. Este é uma prioridade de segurança que os países democráticos devem levar a sério.

A boa notícia é que as mesmas capacidades que tornam os modelos de IA perigosos em mãos erradas os tornam extremamente valiosos para descobrir e corrigir defeitos críticos em software — e também para ajudar a produzir novos softwares com menos bugs de segurança. O Project Glasswing é um passo importante para permitir que os defensores estabeleçam uma vantagem duradoura na iminente era de segurança cibernética impulsionada por IA.

Capacidade de detectar vulnerabilidades e formas de exploração do Claude Mythos Preview

Nas últimas semanas, utilizamos o Claude Mythos Preview para descobrir milhares de vulnerabilidades zero-day (defeitos totalmente desconhecidos pelos desenvolvedores de software) em cada sistema operacional principal, cada navegador principal e uma série de outros softwares importantes, muitas das quais são de alto risco.

No Frontier Red Team Blog, divulgamos detalhes técnicos de algumas das vulnerabilidades já corrigidas, bem como as formas de exploração encontradas pelo Mythos Preview. Quase todas essas vulnerabilidades (e o desenvolvimento de muitas explorações relacionadas) foram descobertas inteiramente de forma autônoma pelo modelo, sem qualquer orientação humana. Aqui estão três exemplos:

  • Mythos Preview descobriu uma vulnerabilidade de 27 anos no OpenBSD. O OpenBSD é conhecido por seu alto nível de segurança e é amplamente utilizado em firewalls e outras infraestruturas críticas. A vulnerabilidade permite que atacantes remotos causem falhas na máquina-alvo apenas se conectando a ela.
  • Ele também descobriu uma vulnerabilidade de 16 anos no FFmpeg. O FFmpeg é usado por inúmeros softwares para codificação e decodificação de vídeo. O problema estava em uma única linha de código, e ferramentas de teste automatizado já haviam atingido essa linha 5 milhões de vezes, sem nunca detectar o problema.
  • O modelo descobriu e encadeou automaticamente várias vulnerabilidades no kernel Linux (que executa a maioria dos servidores globais), realizando um ataque de elevação de privilégios de permissões de usuário comum para controle total da máquina.

Relatamos todos os vazamentos acima aos mantenedores do software relevante, e todos já foram corrigidos. Para muitas outras vulnerabilidades, fornecemos hoje os hashes criptográficos detalhados (consulte o blog da Red Team), e divulgaremos as informações específicas após a correção.

Benchmarks como o CyberGym também validam a diferença significativa entre o Mythos Preview e nosso segundo melhor modelo, Claude Opus 4.6:

Reprodução de vulnerabilidade de segurança cibernética - CyberGym

imagem

Além do nosso próprio trabalho, muitos parceiros já estão usando o Claude Mythos Preview há várias semanas. Aqui estão os feedbacks deles:

A capacidade de IA já ultrapassou um limiar, alterando fundamentalmente e de forma irreversível a urgência necessária para proteger infraestruturas críticas contra ameaças cibernéticas. Nosso trabalho com esses modelos demonstra que é possível identificar e corrigir vulnerabilidades de segurança em hardware e software com velocidade e escala sem precedentes. Trata-se de uma transformação profunda e um sinal claro: as abordagens antigas de fortalecimento de sistemas já não são suficientes. Provedores de tecnologia devem adotar imediatamente novas abordagens, e os clientes também precisam estar preparados para implementá-las. É por isso que a Cisco se juntou ao Project Glasswing — esse trabalho é tão importante e urgente que não pode ser feito sozinho.

—— Anthony Grieco, vice-presidente sênior e chefe de segurança e confiança da Cisco

Na AWS, construímos defesas antes mesmo que as ameaças surjam, desde chips personalizados até toda a pilha tecnológica. A segurança não é algo de uma fase específica; é contínua e incorporada em tudo o que fazemos. Nossa equipe analisa mais de 400 trilhões de eventos de tráfego de rede por dia para detectar ameaças, e a IA é o núcleo da nossa capacidade de defesa em larga escala. Estamos testando o Claude Mythos Preview em nossas próprias operações de segurança, aplicando-o a repositórios críticos de código, e ele já está nos ajudando a fortalecer o código. Estamos trazendo nossa profunda expertise em segurança para a parceria com a Anthropic e ajudando a reforçar o Claude Mythos Preview, permitindo que mais organizações avancem seus trabalhos com os mais altos padrões de segurança.

—— Amy Herzog, vice-presidenta e diretora de segurança da informação da Amazon Web Services

Quando a segurança cibernética não é mais limitada pela capacidade humana pura, a oportunidade de usar a IA de forma responsável para escalar a segurança e reduzir riscos é sem precedentes. Juntar-se ao Project Glasswing e obter acesso ao Claude Mythos Preview nos permite identificar e mitigar riscos mais cedo, aprimorando nossas soluções de segurança e desenvolvimento para proteger melhor os clientes e a Microsoft. Testado em nosso benchmark de segurança de código aberto CTI-REALM, o Claude Mythos Preview demonstrou melhorias substanciais em comparação com modelos anteriores. Estamos ansiosos para colaborar com a Anthropic e a indústria como um todo para melhorar os resultados de segurança para todos.

—— Igor Tsyganskiy, vice-presidente executivo de segurança cibernética e pesquisa da Microsoft

O prazo entre a descoberta de uma vulnerabilidade e sua exploração por atacantes já colapsou — o que antes levava meses agora pode ser feito em minutos com IA. A prévia do Claude Mythos demonstra a possibilidade de ação em larga escala por parte dos defensores, enquanto os adversários inevitavelmente buscarão aproveitar a mesma capacidade. Isso não é motivo para desacelerar, mas sim para acelerar juntos. Para implantar IA, é essencial ter segurança garantida. É por isso que a CrowdStrike está envolvida desde o primeiro dia.

—— Elia Zaitsev, CTO da CrowdStrike

No passado, especialização em segurança era um luxo reservado para organizações com grandes equipes de segurança. Mantenedores de software de código aberto — cujo software sustenta a maior parte da infraestrutura crítica global — sempre tiveram que resolver problemas de segurança por conta própria. O software de código aberto compõe a maior parte do código nos sistemas modernos, incluindo os próprios sistemas usados por agentes de IA para escrever novo software. Ao permitir que os mantenedores dessas bibliotecas de código aberto críticas acessem modelos de IA de nova geração — capazes de identificar e corrigir vulnerabilidades ativamente em larga escala — o Project Glasswing oferece um caminho concreto para mudar essa realidade. É assim que a segurança impulsionada por IA passa de uma ferramenta exclusiva de grandes equipes para um assistente confiável de cada mantenedor.

—— Jim Zemlin, CEO da Linux Foundation

Promover a segurança cibernética e a resiliência do sistema financeiro é central para a missão do JPMorgan Chase, e acreditamos que a indústria é mais forte quando instituições líderes colaboram em desafios comuns. O Project Glasswing oferece uma oportunidade única e precoce para avaliarmos, segundo nossos próprios padrões, a capacidade das próximas gerações de ferramentas de IA na defesa cibernética de infraestruturas críticas, enquanto trabalhamos ao lado de líderes tecnológicos respeitados. Adotaremos uma abordagem rigorosa e independente para determinar como avançar e como contribuir. A iniciativa da Anthropic reflete a abordagem proativa e colaborativa necessária neste momento.

— Pat Opet, chefe de segurança da informação do JPMorgan Chase

O Google está feliz em ver a formação desta iniciativa de cibersegurança interindustrial e está fornecendo o Mythos Preview aos participantes por meio do Vertex AI. A colaboração do setor em questões de segurança emergentes sempre foi crucial, seja em criptografia pós-quantum, divulgação responsável de vulnerabilidades zero-day, segurança de software de código aberto ou defesa contra ataques baseados em IA. Sempre acreditamos que a IA traz novos desafios e oportunidades na defesa cibernética, o que nos levou a desenvolver ferramentas impulsionadas por IA, como Big Sleep e CodeMender, para descobrir e corrigir defeitos críticos em software. Continuaremos investindo em plataformas de cibersegurança líderes e em uma cultura centrada na proteção dos usuários, clientes, ecossistemas e da segurança nacional.

—— Heather Adkins, vice-president de engenharia de segurança do Google

Nas últimas semanas, temos estado a utilizar o modelo Claude Mythos Preview para identificar vulnerabilidades complexas que os modelos da geração anterior completamente ignoraram. Isso não apenas mudou as regras do jogo na descoberta de vulnerabilidades ocultas, mas também significa que os atacantes poderão descobrir e explorar mais vulnerabilidades zero-day mais rapidamente do que nunca. É evidente que esses modelos precisam ser colocados nas mãos dos proprietários de projetos de código aberto e de todos os defensores, para que vulnerabilidades sejam descobertas e corrigidas antes que os atacantes tenham acesso a eles. Talvez mais importante ainda: todos precisam se preparar para atacantes assistidos por IA. Os ataques serão mais frequentes, mais rápidos e mais complexos. É hora de elevar integralmente os sistemas de segurança cibernética. Agradecemos à Anthropic por colaborar com a indústria para garantir que essas capacidades poderosas sejam priorizadas para a defesa.

—— Lee Klarich, Chief Product and Technology Officer da Palo Alto Networks

Claude Mythos Preview: sua poderosa capacidade de segurança cibernética deriva de sua excelente codificação e raciocínio de agentes. Os resultados da avaliação abaixo mostram que este modelo obteve a pontuação mais alta entre todos os modelos conhecidos em várias tarefas de codificação de software.

Agent encoding

imagem

Reasoning

imagem

Busca de agentes e uso de computador

imagem

Observação:

  • SWE-bench Verificado, Pro e Multilíngue: A triagem por memorização marcou alguns problemas. Após excluir os problemas que possam envolver memorização, a vantagem do Mythos Preview em relação ao Opus 4.6 permanece inalterada.
  • SWE-bench Multimodal: uso de implementação interna; pontuações não são diretamente comparáveis com a tabela classificatória pública.
  • Terminal-Bench 2.0: Usando o framework Terminus-2, modo de pensamento adaptativo com esforço máximo, orçamento total de 1 milhão de tokens por tarefa, recursos configurados em 1x garantia / 3x limite, média de 5 tentativas por tarefa. Após aumentar o limite de tempo para 4 horas e atualizar para o Terminal-Bench 2.1, a pontuação do Mythos Preview foi de 92,1%.
  • BrowseComp: Claude Mythos Preview obteve pontuação superior ao Opus 4.6, enquanto consumiu apenas 1/4,9 dos tokens deste último.
  • A Última Prova da Humanidade: Mythos ainda se saiu bem no modo de baixo esforço, o que pode indicar algum grau de memorização.

Para mais informações sobre as capacidades, atributos de segurança e características básicas desse modelo, consulte Claude Mythos Preview System Card.

Não planejamos disponibilizar o Claude Mythos Preview ao público, mas nosso objetivo final é permitir que os usuários implantem em larga escala modelos do nível Mythos de forma segura — não apenas para cibersegurança, mas também para as muitas outras vantagens que modelos de alta capacidade trarão. Para isso, precisamos avançar no desenvolvimento de medidas de segurança para cibersegurança (e outras) que possam detectar e bloquear as saídas mais perigosas dos modelos. Planejamos lançar novas medidas de segurança no próximo modelo Claude Opus, permitindo-nos aprimorar e refinar essas medidas com um modelo que não apresente o mesmo nível de risco do Mythos Preview.

Próximos passos do Project Glasswing

O lançamento de hoje é o início de um esforço de longo prazo. Para ter sucesso, é necessário o envolvimento amplo dentro e fora da indústria de tecnologia.

Os parceiros do Project Glasswing terão acesso ao Claude Mythos Preview para identificar e corrigir vulnerabilidades e fraquezas em seus sistemas fundamentais — sistemas que representam uma grande proporção da superfície de ataque compartilhada globalmente. Os esforços previstos incluem detecção local de vulnerabilidades, teste de caixa preta binária, reforço de endpoints e teste de penetração de sistemas.

Os 100 milhões de dólares em créditos de uso de modelo comprometidos pela Anthropic para o Project Glasswing e outros participantes cobrirão o uso intensivo durante o período de pré-visualização da pesquisa. Após isso, o Claude Mythos Preview será disponibilizado para participantes a uma taxa de US$ 25 / US$ 125 por milhão de tokens de entrada / saída (os participantes poderão acessar o modelo por meio da Claude API, Amazon Bedrock, Google Cloud Vertex AI e Microsoft Foundry).

Além do crédito do modelo, doamos US$ 2,5 milhões à Linux Foundation para o Alpha-Omega e ao OpenSSF, e US$ 1,5 milhão à Apache Software Foundation, ajudando os mantenedores de software de código aberto a lidar com este novo cenário (mantenedores interessados podem solicitar acesso pelo programa Claude for Open Source).

Planejamos expandir continuamente este esforço ao longo de vários meses e compartilhar o máximo possível de experiências, permitindo que outras organizações apliquem essas lições em suas próprias segurança. Os parceiros compartilharão informações e práticas recomendadas dentro dos limites possíveis; dentro de 90 dias, a Anthropic publicará um relatório sobre nossas descobertas, bem como vulnerabilidades corrigidas e melhorias que podem ser divulgadas. Também trabalharemos com organizações de segurança líderes para desenvolver recomendações práticas sobre a evolução das práticas de segurança na era da IA, possivelmente abrangendo: processos de divulgação de vulnerabilidades, processos de atualização de software, segurança de código aberto e cadeia de suprimentos, ciclo de vida de desenvolvimento de software e práticas de design seguro, padrões de setores regulamentados, triagem expandida e automação, e automação de patches.

Anthropic também tem estado em discussões com autoridades governamentais dos Estados Unidos sobre as capacidades de cibersegurança de ataque e defesa do Claude Mythos Preview. Proteger infraestruturas críticas é uma prioridade nacional de segurança primordial para países democráticos — o surgimento dessas capacidades de cibersegurança reafirma a necessidade de os Estados Unidos e seus aliados manterem uma liderança decisiva em tecnologias de IA. O governo desempenha um papel indispensável na manutenção dessa liderança e na avaliação e mitigação de riscos de segurança nacional associados a modelos de IA. Estamos dispostos a colaborar com representantes governamentais em todos os níveis para auxiliar nessas tarefas.

Esperamos que o Project Glasswing incentive um esforço de maior escala envolvendo setores industriais e públicos, com todas as partes trabalhando juntas para abordar os principais desafios de segurança associados aos modelos poderosos. Convidamos outros membros da indústria de IA a se juntarem a nós para ajudar a estabelecer padrões setoriais. A médio prazo, uma entidade independente de terceiros — capaz de reunir organizações dos setores privado e público — pode ser a plataforma ideal para suportar os próximos passos desses grandes projetos de cibersegurança.

Nota

  1. O projeto é nomeado após a borboleta asa de vidro (Greta oto). Essa metáfora tem duas camadas de significado: as asas transparentes da borboleta permitem que ela se torne invisível, assim como as vulnerabilidades discutidas neste artigo que estão escondidas no código; as asas transparentes também ajudam a borboleta a evitar danos, assim como o método transparente que defendemos.
  2. Mythos deriva do grego antigo, significando "narrativa" ou "história": o sistema de histórias que as civilizações usam para compreender o mundo.
  3. Profissionais de segurança que realizam trabalho legítimo e foram afetados por essas medidas de segurança podem se inscrever no próximo programa de verificação cibernética (Cyber Verification Program).
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.