IA descobre milhares de falhas em softwares críticos
Editor Geral
Um consórcio inédito de gigantes da tecnologia, incluindo Amazon Web Services (AWS), Google, Microsoft e Apple, lançou o Projeto Glasswing. A iniciativa visa combater a crescente ameaça de vulnerabilidades em softwares críticos, impulsionada por avanços em inteligência artificial. O catalisador para a formação do projeto é o modelo de IA Claude Mythos Preview, desenvolvido pela Anthropic, que demonstrou uma capacidade surpreendente de identificar e explorar falhas de segurança em códigos.
IA supera humanos na detecção de falhas
O Claude Mythos Preview já identificou milhares de vulnerabilidades de alta gravidade em sistemas operacionais, navegadores e outras infraestruturas de software essenciais. A preocupação reside no fato de que essas capacidades de IA, uma vez amplamente disseminadas, podem cair em mãos erradas, representando um risco severo para a segurança cibernética global, economias e segurança nacional. O Projeto Glasswing surge como uma resposta urgente para direcionar essas capacidades para fins defensivos.
A iniciativa contará com a colaboração de mais de 40 organizações adicionais, que utilizarão o Mythos Preview para escanear e proteger tanto sistemas proprietários quanto de código aberto. A Anthropic comprometeu até US$ 100 milhões em créditos de uso para o Mythos Preview, além de doações diretas de US$ 4 milhões para organizações de segurança de código aberto.
A nova fronteira da cibersegurança
Softwares que sustentam sistemas bancários, registros médicos, redes logísticas e redes elétricas sempre contiveram bugs. No entanto, a velocidade com que a IA agora pode encontrar e explorar essas falhas representa uma mudança de paradigma. Modelos de IA de ponta, como o Claude Mythos Preview, reduziram drasticamente o custo, o esforço e o nível de especialização necessários para descobrir e explorar vulnerabilidades de software.
Exemplos concretos demonstram a eficácia da IA: o Mythos Preview encontrou uma vulnerabilidade de 27 anos no sistema operacional OpenBSD, que permite a um atacante travar remotamente qualquer máquina. Outra falha descoberta, com 16 anos, no FFmpeg (usado para codificar e decodificar vídeo), passou despercebida por milhões de testes automatizados. No kernel do Linux, o modelo conseguiu encadear vulnerabilidades para obter controle total de uma máquina a partir de um acesso de usuário comum.
Colaboração e o futuro da defesa cibernética
O Projeto Glasswing enfatiza que nenhuma organização pode resolver esses desafios sozinha. A colaboração entre desenvolvedores de IA, empresas de software, pesquisadores de segurança, mantenedores de código aberto e governos é crucial. A iniciativa planeja compartilhar aprendizados e melhores práticas, com um relatório público previsto em 90 dias sobre as vulnerabilidades corrigidas e melhorias implementadas.
A Anthropic também está em diálogo com o governo dos EUA sobre as implicações de segurança nacional das capacidades cibernéticas do Claude Mythos Preview. O objetivo a longo prazo é permitir que modelos de classe Mythos sejam implantados em escala para fins de cibersegurança e outros benefícios, enquanto se desenvolvem salvaguardas robustas para mitigar riscos.
O nome “Glasswing” (asa de vidro) é uma metáfora para a transparência na abordagem da segurança, permitindo que as vulnerabilidades sejam vistas e tratadas antes que se tornem ameaças exploráveis.