Anthropic expande Project Glasswing para 150 organizações em 15 países: o que muda na defesa cibernética com IA

ninja 20 de junho de 2026 0

Anthropic levou o Project Glasswing de 50 para cerca de 200 parceiros em mais de 15 países — incluindo OTAN e ENISA. Veja como a iniciativa de varredura…

Ilustração abstrata de um escudo cibernético azul sobre rede neural — Anthropic Project Glasswing

Resumo: No dia 2 de junho de 2026, a Anthropic anunciou a expansão do Project Glasswing — sua iniciativa conjunta com governos, fabricantes e mantenedores de software aberto para encontrar e corrigir falhas críticas com ajuda do Claude. O programa, que começou em abril com 50 organizações, agora chega a cerca de 200 parceiros em mais de 15 países. Entre as novas entradas estão a OTAN, a agência europeia de cibersegurança ENISA e operadores de infraestrutura crítica em energia, água, saúde, telecomunicações e hardware. Desde o lançamento, parceiros já reportaram mais de 10 mil vulnerabilidades de severidade alta ou crítica.

O que muda nesta segunda fase

A primeira leva do Glasswing foi montada para validar a tese de que um modelo de fronteira, conduzido por equipes de segurança experientes, encontra bugs com qualidade comparável (ou superior) à de auditorias humanas isoladas — e em uma fração do tempo. Com a expansão, a Anthropic mira três pontos que estavam fora do alcance inicial:

  • Setores antes ausentes: energia, água, saúde, telecom e hardware passam a ter acesso ao programa. São cadeias com legados profundos, muito código C/C++ e janelas de manutenção raras — exatamente onde um copiloto de varredura faz diferença.
  • Órgãos transnacionais: OTAN e ENISA entram para coordenar respostas a CVEs encontrados em bibliotecas usadas por múltiplos Estados-membros.
  • Mantenedores de código aberto: projetos críticos recebem acesso assistido para revisar contribuições e identificar regressões antes do merge.

Como o programa funciona na prática

Cada organização aprovada recebe acesso ao Claude Mythos Preview — modelo da Anthropic com janela de contexto longa e raciocínio orientado a código — em modalidade dedicada à triagem de vulnerabilidades. A varredura roda em duas frentes: análise estática auxiliada por LLM sobre repositórios inteiros (procurando padrões clássicos como use-after-free, integer overflow, deserialização insegura e SSRF) e revisão direcionada de patches recém-aplicados. Antes de cada acesso, a parceira passa por verificação de requisitos de segurança, incluindo gestão de segredos, isolamento dos repositórios analisados e canal de divulgação coordenada (CVD).

Por que importa

O problema central da segurança ofensiva e defensiva em 2026 é o mesmo: volume. O número de pacotes, dependências e CVEs cresce mais rápido do que a capacidade dos revisores humanos. Programas como o Glasswing operacionalizam o uso de LLMs para tarefas de baixa criatividade e alta repetição — triagem, classificação, redação de PoC — liberando engenheiros sêniores para o que realmente exige julgamento. A escolha por um clube fechado, com requisitos de segurança e CVD claros, é também uma resposta política: evita que a mesma capacidade vire ferramenta de ataque acelerado.

Status no Brasil

O país ainda não tem participação anunciada como Estado, mas operadoras de infraestrutura crítica, bancos e provedores de nuvem nacionais podem se candidatar diretamente — desde que cumpram os requisitos. Em paralelo, o ecossistema brasileiro de bug bounty começa a integrar saídas de LLM na triagem; a tendência é que CSIRTs setoriais (Elétrico, Saúde, Financeiro) adotem fluxos parecidos nos próximos 12 meses, ajustados à LGPD e à Resolução BCB 8.668. Para áreas reguladas, a recomendação é envolver compliance e o DPO desde o desenho do fluxo, evitando enviar trechos com dados pessoais ao modelo.

Riscos e limitações

Três pontos merecem atenção. O primeiro é a taxa de falsos positivos: mesmo modelos de fronteira ainda confundem caminhos mortos com vulnerabilidades exploráveis, e uma operação mal calibrada pode sobrecarregar equipes pequenas com ruído. O segundo é a dependência de fornecedor único: programas como o Glasswing concentram conhecimento sobre falhas em uma plataforma — uma boa governança contratual sobre retenção de dados e logs é indispensável. O terceiro é o uso dual: a mesma capacidade que encontra falhas pode ser usada para escrevê-las. A Anthropic mitiga isso com seleção de parceiros e telemetria, mas a transparência sobre o que pode e o que não pode ser pedido ainda é parcial.

Análise SWOT econômica

Forças

  • Claude Mythos é referência em raciocínio sobre código longo.
  • Rede de 200 parceiros gera retroalimentação rápida do modelo.
  • Selo de OTAN/ENISA acelera vendas enterprise.

Fraquezas

  • Custo de inferência ainda alto para varreduras contínuas.
  • Programa restrito limita receita direta no curto prazo.
  • Falta de SLA público para tempo de resposta a achados.

Oportunidades

  • Glasswing-as-a-Service para reguladores e bancos.
  • Padronizar formato de relatório com CISA, ENISA e governos.
  • Trilha para PMEs via parceiros regionais (LatAm inclusive).

Ameaças

  • Concorrência direta de Google, Microsoft e OpenAI em AppSec.
  • Risco regulatório se LLM ofensivo for usado fora do programa.
  • Vazamento de findings pré-CVE pode gerar dano reputacional.

Cenário para os próximos 12 meses

A combinação IPO em curso + parcerias regulatórias indica que o Glasswing é parte de uma estratégia maior: posicionar a Anthropic como fornecedora padrão de IA para infraestrutura crítica antes da janela se fechar com modelos abertos competitivos. Espere ver, até meados de 2027, um produto enterprise com SLA, integração nativa a SIEMs e suporte multilíngue — momento em que o Brasil deve aparecer com nomes próprios na lista de parceiros.

Conclusão prática

Para times de AppSec, o recado é direto: comece a desenhar fluxos que pressupõem um LLM auditor no loop de revisão. Isso envolve padronizar prompts de varredura, definir critérios de aceitação para achados, criar uma fila de triagem priorizada por exploração realista e medir signal-to-noise. Quem dominar esses fluxos vai capturar o ganho de produtividade quando a oferta comercial chegar — independente do fornecedor escolhido.

Fonte original: Anthropic — Expanding Project Glasswing.

More Stories

deepmind-ai-control-roadmap-15-defesas-agentes-junho-2026

DeepMind publica AI Control Roadmap: 15 defesas para quando o alinhamento de agentes de IA falhar

ninja 21 de junho de 2026 0
anthropic-llm-attack-navigator-mitre-verizon-dbir-2026

Anthropic mapeia 832 atacantes contra o MITRE ATT&CK: o LLM ATT&CK Navigator e o que ele revela sobre o crime com IA

ninja 19 de junho de 2026 0
post3_mxc

Microsoft MXC: o sandbox no kernel do Windows que isola agentes de IA — com OpenAI e NVIDIA dentro

ninja 17 de junho de 2026 0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

You may have missed

Tutorial Fooocus: como instalar e usar o gerador de imagens com IA passo a passo (2026)

Tutorial Fooocus completo: instalar, usar inpaint, outpaint, upscale e face swap passo a passo

ninja 22 de junho de 2026 0
15 prompts prontos para gerar imagens no SDXL e Fooocus — retrato, produto e marketing (2026)

15 prompts prontos para gerar imagens no SDXL e Fooocus — retrato, produto e marketing (2026)

ninja 22 de junho de 2026 0
15 prompts prontos em português para reuniões, e-mails e produtividade no trabalho (2026)

15 prompts prontos em português para reuniões, e-mails e produtividade no trabalho (2026)

ninja 22 de junho de 2026 0
Fooocus: o gerador de imagens local que junta a simplicidade do Midjourney com o controle do SDXL

Fooocus: o gerador de imagens local que junta a simplicidade do Midjourney com o controle do SDXL

ninja 22 de junho de 2026 0
Auditoria mostra que LLMs assumem leis dos EUA quando você pergunta em inglês — e por que isso é um problema para o Brasil

Auditoria mostra que LLMs assumem leis dos EUA quando você pergunta em inglês — e por que isso é um problema para o Brasil

ninja 22 de junho de 2026 0