Bancos correm para corrigir falhas reveladas por IA
Os maiores bancos dos Estados Unidos estao vivendo uma corrida sem precedentes. Com acesso ao modelo Mythos da Anthropic, essas instituicoes estao descobrindo centenas a milhares de vulnerabilidades em seus sistemas, muitas delas desconhecidas ate agora. O prazo de correcao, que antes era medido em semanas, esta sendo comprimido para dias.
Segundo a Reuters, os bancos que possuem acesso ao Mythos estao compartilhando as descobertas com instituicoes menores, que nao tem recursos para operar o modelo. O custo e proibitivo para a maioria: US$ 25 por milhao de tokens de entrada e US$ 125 por milhao de tokens de saida, cinco vezes mais caro que o Opus 4.7 da Anthropic.
Falhas menores combinadas viram risco critico
Uma das capacidades mais preocupantes do Mythos e o encadeamento de vulnerabilidades. Falhas classificadas individualmente como baixo ou medio risco se transformam em vetores de ataque criticos quando combinadas. Essa tecnica invalida a pratica comum de ignorar CVEs com pontuacao CVSS inferior a 7.
O modelo tambem se destaca em encontrar falhas em codigo proprietario e em bibliotecas open-source, pressionando bancos que ainda operam com sistemas legados sem suporte ativo de software. A velocidade exigida para aplicar correcoes nao tem precedente no setor.
“O risco cibernetico agora se move na velocidade das maquinas, enquanto boa parte da defesa bancaria ainda opera na velocidade humana”, afirmou Nitin Seth, CEO da Incedo.
Capacidade ja existia em modelos anteriores
Apesar do alarme em torno do Mythos, especialistas ouvidos pela CNBC alertam que a capacidade de encontrar vulnerabilidades em escala ja estava disponivel em modelos anteriores, incluindo versoes mais antigas da propria Anthropic e da OpenAI.
“Os modelos que temos agora ja sao poderosos o suficiente para detectar zero-days em larga escala, e isso ja e assustador o bastante”, disse Klaudia Kloc, CEO da Vidoc Security. Segundo ela, essa capacidade existe ha “alguns meses, se nao um ano”.
Ben Harris, CEO da watchTowr, complementou: “O que estamos vendo e que pessoas conseguem reproduzir as vulnerabilidades encontradas pelo Mythos por meio de orquestracao inteligente de modelos publicos”. A reacao da OpenAI foi rapida: poucos dias depois, Sam Altman anunciou o GPT-5.5-Cyber, um modelo voltado especificamente para defesa cibernetica.
Janela de seis a doze meses
O CEO da Anthropic, Dario Amodei, alertou que organizacoes tem de seis a doze meses para corrigir falhas antes que modelos chineses de IA desenvolvam capacidades equivalentes. Para ampliar o acesso defensivo, a empresa lancou o programa Claude Security, uma ferramenta de varredura disponivel para mais organizacoes.
O Secretario do Tesouro americano, Scott Bessent, reiterou a mensagem ao afirmar que os bancos devem “levar o modelo Mythos a serio” e usa-lo para encontrar brechas em suas defesas.
O que isso significa para times de infra no Brasil
A realidade revelada pelo Mythos nao e exclusiva do setor bancario americano. Qualquer organizacao que dependa de sistemas legados, codigo open-source sem auditoria recente ou ciclos longos de patch esta exposta ao mesmo tipo de risco.
Para equipes de seguranca e infraestrutura em empresas brasileiras, tres acoes se destacam:
- Reduzir o tempo medio de correcao. Se o ciclo atual de patches e mensal, comprima para semanal nos componentes criticos. Ferramentas como Wazuh e Zabbix ajudam a priorizar o que corrigir primeiro com base em severidade e exposicao real.
- Auditar dependencias open-source. Bibliotecas desatualizadas sao o alvo favorito de varreduras automatizadas. Pipelines DevSecOps com verificacao continua de CVEs (Horusec, Trivy, Grype) reduzem a superficie de ataque antes que um modelo de IA a encontre.
- Tratar vulnerabilidades de baixo risco como risco real. O encadeamento demonstrado pelo Mythos mostra que falhas moderadas combinadas podem abrir portas criticas. A priorizacao por CVSS isolado nao e mais suficiente.
A corrida entre ofensiva e defensiva em ciberseguranca ganhou um novo capitulo. A IA nao criou vulnerabilidades novas. Ela tornou visiveis as que ja existiam, em uma velocidade que a maioria das organizacoes nao consegue acompanhar. Quem ainda trata gestao de vulnerabilidades como tarefa trimestral precisa rever sua estrategia antes que a proxima geracao de modelos torne essas falhas acessiveis a qualquer atacante com um terminal e um modelo publico.