O modelo de inteligência artificial Claude Mythos Preview, desenvolvido pela Anthropic, provocou uma reunião emergencial em Washington entre o Secretário do Tesouro Scott Bessent, o presidente do Federal Reserve Jerome Powell e os CEOs dos maiores bancos dos Estados Unidos, incluindo Bank of America, Citi, Goldman Sachs, Morgan Stanley e Wells Fargo, após a ferramenta demonstrar capacidade de identificar milhares de vulnerabilidades críticas em sistemas operacionais e navegadores em questão de segundos, comprimindo para instantes um trabalho que levaria meses a especialistas humanos.
Uma ferramenta de inteligência artificial mudou o cálculo de risco do sistema financeiro global em poucas semanas. O Claude Mythos, modelo mais recente da Anthropic, forçou o governo americano a convocar os principais CEOs bancários do país para uma reunião de emergência. O encontro, liderado pelo Secretário do Tesouro Scott Bessent e pelo presidente do Federal Reserve Jerome Powell, reuniu executivos de Bank of America, Citi, Goldman Sachs, Morgan Stanley e Wells Fargo. A pauta era uma só: o que fazer diante de uma IA capaz de encontrar falhas de segurança que permaneceram ocultas por décadas.
O que o Claude Mythos é capaz de fazer
O Claude Mythos não é um assistente comum. O modelo demonstrou habilidade de varrer código-fonte de sistemas operacionais e navegadores em busca de vulnerabilidades de alta gravidade, incluindo falhas com décadas de existência que nunca foram detectadas por equipes humanas. O tempo de descoberta, que antes exigia meses de trabalho especializado, foi comprimido para segundos.
Esse salto de desempenho é o centro das preocupações. Quando uma IA consegue mapear superfícies de ataque mais rápido do que qualquer time de segurança consegue corrigir, o equilíbrio defensivo se rompe. A janela entre a descoberta de uma falha e sua exploração por agentes maliciosos tende a zero.
O modelo já identificou milhares de vulnerabilidades críticas em todos os principais sistemas operacionais e navegadores web. O número exato não foi divulgado publicamente, mas fontes ligadas ao setor descrevem o volume como sem precedente na história da cibersegurança.
Acesso restrito e o Project Glasswing
Diante do potencial destrutivo, a Anthropic optou por não liberar o Claude Mythos ao público geral. A empresa formou um consórcio de acesso controlado chamado Project Glasswing, reunindo Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks.
A iniciativa representa uma mudança de paradigma: pela primeira vez, grandes rivais tecnológicos e instituições financeiras se unem sob um mesmo protocolo de governança para gerenciar o acesso a uma IA considerada potencialmente perigosa. O movimento sinaliza que o setor reconhece que a ameaça é sistêmica, e que nenhum ator isolado consegue contê-la sozinho.
Para CISOs e diretores de TI, o Project Glasswing levanta uma questão imediata: sua organização está dentro ou fora desse perímetro de controle? Empresas fora do consórcio podem enfrentar um déficit de inteligência sobre ameaças que o próprio modelo ajudou a mapear.
Bank of America na dianteira — e no centro do risco
O Bank of America se posicionou como líder setorial na adoção de IA, mesmo diante dos alertas do governo. Mais de 90% dos seus funcionários já utilizam alguma forma de inteligência artificial em 2025. O banco destina ao menos US$ 4 bilhões de seu orçamento tecnológico de US$ 13,5 bilhões a novas iniciativas, incluindo IA.
Essa aposta agressiva coloca o banco em posição ambígua. De um lado, a vantagem competitiva de quem adota cedo tecnologias transformadoras. Do outro, a exposição de quem integra sistemas poderosos antes que os marcos regulatórios e os protocolos de segurança estejam maduros.
O setor bancário americano já sente o custo da escalada cibernética. As perdas por crimes na internet atingiram US$ 275 milhões no último ano, um aumento de 59% em relação ao período anterior. As perdas nacionais totais superaram US$ 20 bilhões. Com o Claude Mythos acelerando a capacidade de descoberta de falhas, esses números tendem a pressionar ainda mais os orçamentos de segurança.
Falha no MCP e o risco de terceiros
O cenário se complica com uma vulnerabilidade arquitetural identificada no Model Context Protocol (MCP) da própria Anthropic. O protocolo, que permite integração entre modelos de IA e sistemas externos, acumula mais de 150 milhões de downloads do código afetado. Estima-se que aproximadamente 7.000 servidores vulneráveis estejam publicamente acessíveis, com até 200.000 instâncias expostas no total.
Para organizações financeiras que já integraram ou planejam integrar soluções baseadas no MCP, esse dado exige atenção imediata. A falha arquitetural cria um vetor de ataque de terceiros, o tipo de risco que costuma passar despercebido nos processos convencionais de gestão de fornecedores.
A situação intensifica o debate regulatório sobre responsabilidade corporativa. Quando uma falha na infraestrutura de um fornecedor de IA expõe sistemas bancários críticos, quem responde? Esse vácuo de governança é hoje um dos principais pontos de atenção de reguladores nos Estados Unidos e na Europa.
Pressão regulatória internacional
A preocupação não se limita ao mercado americano. Christine Lagarde, presidente do Banco Central Europeu, e Andrew Bailey, presidente do Banco da Inglaterra, emitiram alertas formais sobre os riscos associados ao Claude Mythos. A mobilização simultânea de reguladores de diferentes jurisdições é incomum e indica percepção de risco sistêmico transfronteiriço.
No front doméstico americano, o Departamento de Defesa dos EUA classificou a Anthropic como risco à cadeia de suprimentos. A decisão resultou em uma disputa legal entre o governo Trump e a empresa, após divergências sobre o uso do modelo em operações militares. O embate jurídico adiciona incerteza regulatória ao ambiente, e sinaliza que o futuro do Claude Mythos pode ser moldado tanto por tribunais quanto por laboratórios de pesquisa.
O que líderes de TI precisam fazer agora
Para executivos de tecnologia e segurança, o momento exige ação em três frentes. Primeiro, mapear quais sistemas críticos utilizam o protocolo MCP da Anthropic e avaliar exposição imediata à vulnerabilidade arquitetural identificada. Segundo, monitorar os desdobramentos do Project Glasswing e avaliar possibilidades de acesso a inteligência de ameaças gerada pelo modelo. Terceiro, revisar acordos de responsabilidade com fornecedores de IA à luz dos novos riscos regulatórios que emergem simultaneamente nos EUA e na Europa.
A corrida armamentista cibernética sempre existiu. O Claude Mythos apenas comprovou que ela acaba de entrar em uma nova fase, e que o setor financeiro está na linha de frente.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!