Project Glasswing: como a IA da Anthropic achou 10 mil falhas críticas em 30 dias, incluindo bugs de 27 anos
A Anthropic usou uma IA não lançada pra achar mais de 10 mil falhas críticas em 30 dias. O que é o Project Glasswing e o que muda de verdade.
A Anthropic revelou os primeiros resultados do Project Glasswing, uma iniciativa que usa o Claude Mythos Preview, um modelo ainda não lançado ao público, pra varrer software crítico em busca de falhas de segurança. Em 30 dias de operação, o modelo sinalizou mais de 10 mil vulnerabilidades de alta ou crítica severidade em sistemas de AWS, Apple, Google, Microsoft e outros. Esse artigo é nossa leitura do anúncio, com foco no que muda pra quem usa ou cria software em 2026.
O que é o Project Glasswing
A Anthropic lançou o Project Glasswing em 7 de abril de 2026. A ideia é usar IA de nível frontier pra encontrar vulnerabilidades em software crítico antes que alguém mal-intencionado ache primeiro.
O modelo por trás é o Claude Mythos Preview, uma versão ainda não pública do Claude. A Anthropic descreve esse modelo como capaz de superar até os melhores analistas humanos na identificação e exploração de falhas de código.
Os parceiros fundadores incluem AWS, Apple, Google, Microsoft, Cisco, Nvidia, Broadcom, CrowdStrike, JPMorgan Chase, a Linux Foundation e Palo Alto Networks. Em maio, Verizon e IBM também entraram. A Anthropic comprometeu US$ 100 milhões em créditos de uso do modelo pra essas organizações, mais US$ 4 milhões em doações diretas a iniciativas de segurança open-source.
O que o modelo achou em 30 dias
Os números do primeiro mês são difíceis de ignorar:
- Mais de 10 mil vulnerabilidades de alta ou crítica severidade sinalizadas inicialmente
- 6.202 classificadas como válidas após triagem técnica
- 1.726 confirmadas como verdadeiros positivos por analistas humanos
- 1.094 de alta ou crítica severidade confirmadas
Só na Cloudflare, foram 2 mil bugs encontrados, 400 deles classificados como críticos.
No Mozilla Firefox, o modelo identificou 271 vulnerabilidades. O time da Mozilla informou que a taxa de descoberta aumentou dez vezes em relação ao que conseguiam com os modelos anteriores do Claude.
O ritmo de descoberta agora supera a capacidade de correção. Um relatório técnico dos parceiros resumiu bem: o gargalo de segurança se deslocou da descoberta para a remediação. Antes o problema era não encontrar. Agora o problema é não conseguir corrigir rápido o suficiente.
Bugs com 27 anos escondidos no sistema
Dois achados chamam atenção pelo tempo que passaram despercebidos.
O primeiro: uma falha de segurança no OpenBSD, um sistema operacional construído especificamente em torno de princípios de segurança, estava no código há 27 anos. Um sistema com cultura de segurança acima da média, verificado por décadas de revisão humana, não havia chegado nela.
O segundo: uma falha no FFmpeg, a biblioteca de processamento de áudio e vídeo embarcada no YouTube, Netflix, Zoom, Discord e em milhares de outros produtos. Estava lá há 16 anos.
O mais grave é o CVE-2026-5194. Uma vulnerabilidade na biblioteca WolfSSL, usada em sistemas de criptografia automotivos e industriais, com nota CVSS de 9.1 de 10. É o tipo de falha que grupos ligados a governos buscam ativamente.
O que une os três casos: nenhuma revisão humana havia chegado neles. O modelo achou em menos de um mês de operação.
O que isso muda pra quem depende de software
A mudança central aqui não é que IA encontrou bugs. É que a capacidade de encontrar bugs agora escala num ritmo que humanos não conseguem acompanhar.
Pra donos de empresa e times de produto, isso tem dois lados.
O positivo: modelos com capacidade equivalente ao Mythos Preview vão, em algum momento, estar disponíveis pra revisão de código no dia a dia. O tipo de análise que hoje custa uma consultoria de segurança cara começa a fazer parte do processo de criar software.
O que exige atenção: a mesma capacidade que a Anthropic usa de forma defensiva pode ser usada ofensivamente. O próprio anúncio reconhece isso. Por isso o projeto opera com uma política de 90 dias de coordenação antes de publicar qualquer descoberta, dando tempo pras organizações corrigirem.
Pra qualquer empresa que dependa de software, a pergunta prática mudou. Não é mais “será que temos bugs?” A resposta é quase sempre sim. A pergunta agora é: “quão rápido conseguimos corrigir quando alguém encontrar?”
A Formação em IA para Negócios da ibe.IA mostra como usar IA de forma estratégica dentro da empresa: de processos internos a automação de marketing, vendas e atendimento.
Conheça a Formação em IA para Negócios
E se essa leitura te ajudou a entender o que está acontecendo, segue a ibe.IA no Instagram (@ibe.ia) que toda semana sai conteúdo desse jeito.
Fonte
Anthropic: Project Glasswing: Securing critical software for the AI era
Help Net Security: Anthropic: Claude Mythos identified 10,000+ software flaws
Materiais Gratuitos
Crie um SaaS que paga suas contas
Aula gratuita: aprenda a criar aplicativos web e mobile com Vibe Coding e IA, sem saber programar. Nossos alunos publicam o primeiro app em menos de 7 dias.
Assistir Aula Gratuita →Fature R$12k/mês como Gestor de IA
Aula gratuita: descubra a profissão do Gestor de IA. Aprenda a criar agentes e automações com n8n e fature R$12 mil/mês trabalhando de casa, sem programar.
Assistir Aula Gratuita →3 formações em 1
Tudo que você precisa para dominar IA
Vibe Coding + Agentes IA + IA para Negócios em um único pacote.
Formação em Vibe Coding
Aprenda a criar Apps, SaaS e plataformas completas com Vibe Coding e IA.
-
Claude Code -
Cursor -
Antigravity -
Lovable -
Supabase
Formação em Agentes IA e Automações
Domine Agentes IA e Automações para atender clientes no WhatsApp, otimizar processos e eliminar trabalho repetitivo.
-
n8n -
SquadOS
Formação em IA para Negócios
Implemente IA em todos os departamentos da empresa: conteúdo, marketing, imagens, vídeos, gestão e análise de dados.
- Claude Cowork
- Claude Code
-
ChatGPT -
Magnific -
Heygen