O modelo restrito de IA da Anthropic realizou, em semanas, o que pesquisadores de segurança humanos não conseguiram fazer em décadas. O Project Glasswing, a coalizão de cibersegurança da empresa, identificou coletivamente mais de 10.000 vulnerabilidades de software de alta e crítica gravidade, incluindo milhares de falhas zero-day que estavam ocultas e não detectadas em sistemas amplamente utilizados por anos.
Entre as descobertas: uma vulnerabilidade de 27 anos no OpenBSD e um bug de 16 anos no FFmpeg. Ambos sobreviveram a todas as rodadas anteriores de revisão humana de código e testes automatizados.
O que é realmente o Project Glasswing
A Anthropic lançou o Project Glasswing em 7 de abril de 2026, construído em torno de seu modelo frontal ainda não lançado chamado Claude Mythos Preview. A ideia central é simples: direcionar uma IA extraordinariamente capaz à infraestrutura de software crítica e deixá-la buscar falhas de segurança que os humanos continuam ignorando.
A prévia do Claude Mythos é tão boa em encontrar e explorar vulnerabilidades de forma autônoma que a Anthropic decidiu não lançá-la publicamente. Em vez disso, eles formaram uma coalizão de empresas de tecnologia e infraestrutura que têm acesso exclusivo ao modelo estritamente para trabalhos defensivos de segurança.
Mais de 40 organizações agora participam da iniciativa. A Anthropic comprometeu até US$ 100 milhões em créditos de uso de modelos para apoiar o esforço, além de aproximadamente US$ 4 milhões destinados a melhorias de segurança de código aberto.
A atualização lançada por volta de 22-23 de maio de 2026 é onde os números se tornam assustadores. Os parceiros relataram coletivamente essas 10.000 ou mais vulnerabilidades de gravidade alta e crítica, com milhares classificadas como zero-days, o que significa que eram anteriormente desconhecidas pelos mantenedores do software e pela comunidade de segurança em geral.
O gargalo de remediação
Encontrar vulnerabilidades é uma coisa. Corrigi-las é outro problema completamente diferente.
Dos milhares de achados de alta gravidade validados, menos de 100 correções confirmadas foram implantadas até agora. A IA pode descobrir falhas em um ritmo que supera drasticamente a capacidade da indústria de corrigi-las.
As descobertas de zero-day são particularmente reveladoras. Uma falha de 27 anos no OpenBSD significa que, por quase três décadas, cada auditoria de segurança, cada campanha de fuzzing, cada par de olhos especializados que revisou esse código ignorou algo que um modelo de IA detectou. O bug de 16 anos no FFmpeg conta uma história semelhante. Esses não são projetos obscuros. O OpenBSD é renomado por seu foco em segurança, e o FFmpeg está incorporado em inúmeras aplicações de mídia em todo o mundo.
O que isso significa para os investidores
Os US$ 100 milhões em créditos de uso que a Anthropic comprometeu à iniciativa sinalizam o quão seriamente os principais laboratórios de IA estão levando a natureza de uso duplo de seus modelos. Ao restringir o Claude Mythos Preview a uma coalizão verificada em vez de lançá-lo amplamente, a Anthropic consegue demonstrar uma implantação responsável enquanto constrói relações profundas com equipes de segurança empresarial.