Na segurança cibernética, a velocidade é tudo. Quanto mais rápido uma vulnerabilidade for encontrada e corrigida, mais seguros serão os dados. Durante anos, foi necessária experiência humana para fazer isso. Agora, a Inteligência Synthetic pode identificar vulnerabilidades ocultas e escrever o código para corrigi-las em horas, comprimindo um processo que antes levava dias ou semanas para equipes de especialistas. Mas o que acontece quando a mesma IA aumenta o risco?
O Fundo Monetário Internacional (FMI) alertou que, embora a IA possa reforçar a defesa cibernética, também poderá tornar os ataques cibernéticos mais rápidos, mais baratos e acessíveis até mesmo para não especialistas. Os riscos são particularmente graves para o setor financeiro, que depende fortemente de infraestruturas digitais partilhadas, como software program, serviços em nuvem, redes de pagamentos e bases de dados interligadas.
Leia também: O mito antrópico tornou a cura pior do que a doença?
Num novo relatório, o FMI destacou o Claude Mythos Preview da Anthropic para mostrar a rapidez com que os riscos estão a aumentar. Mythos é um grande modelo de linguagem desenvolvido com raciocínio de uso geral, codificação e tarefas autônomas.
Isso o torna excelente na identificação de vulnerabilidades de segurança, mas os especialistas e a própria empresa de tecnologia estão preocupados com seus riscos potenciais.
Em abril, a Anthropic anunciou que o Mythos não seria divulgado publicamente devido à sua capacidade de identificar falhas desconhecidas em sistemas de TI, que poderiam ser potencialmente exploradas por hackers. Mas em 22 de abril, confirmou que estava investigando relatos de que usuários não autorizados obtiveram acesso ao Mythos.
Mythos pode encontrar vulnerabilidades de ‘dia zero’ ou não descobertas em bases de código reais de código aberto. Ele também demonstrou capacidades para fazer engenharia reversa de explorações em software program de código fechado e transformar vulnerabilidades de N dias, ou conhecidas, mas ainda não amplamente corrigidas, em explorações. Em suma, o Mythos pode não apenas identificar vulnerabilidades que os humanos possam ter perdido, mas também gerar formas de explorá-las, potencialmente até mesmo para não especialistas.
“As vulnerabilidades encontradas são muitas vezes sutis ou difíceis de detectar. Muitas delas têm dez ou vinte anos, sendo a mais antiga que encontramos até agora um bug de 27 anos, agora corrigido, no OpenBSD – um sistema operacional conhecido principalmente por sua segurança”, disse a Anthropic em um weblog.
Leia também: O modelo Mythos AI deve disparar alarmes de segurança cibernética?
A empresa também revelou a rapidez com que essas capacidades surgiram. A Anthropic disse que seus engenheiros conseguiram pedir à Mythos que encontrasse vulnerabilidades e produzisse uma exploração completa e funcional em apenas uma noite. “Em outros casos, pesquisadores desenvolveram estruturas que permitem ao Mythos Preview transformar vulnerabilidades em explorações sem qualquer intervenção humana”, escreveu a empresa.
Medos de ataques cibernéticos
O mais preocupante é que a empresa revelou que essas capacidades não foram intencionalmente treinadas no sistema. O weblog observou que a Mythos foi capaz de desenvolver essas capacidades “muito rapidamente”, embora a IA não tenha sido treinada especificamente para elas. “Em vez disso, eles surgiram como uma consequência posterior de melhorias gerais no código, no raciocínio e na autonomia.”
O desafio é que a IA já está profundamente enraizada no sistema financeiro. Bancos e instituições financeiras usam IA para diversas atividades bancárias, atendimento ao cliente e gestão de risco. Os sistemas suportados por IA são cada vez mais utilizados para identificar atividades suspeitas, detectar vulnerabilidades e responder a ameaças cibernéticas mais rapidamente do que os sistemas tradicionais. Sistemas poderosos como o Mythos levantam temores de que os ataques cibernéticos possam se tornar mais escaláveis, automatizados e acessíveis. Esta ameaça é mais actual porque muitas instituições financeiras ainda dependem de infraestruturas legadas interligadas que são difíceis de corrigir ou atualizar rapidamente, tornando os riscos sistémicos.
O FMI instou os governos e os reguladores a não tratarem a IA “como uma questão puramente técnica ou operacional” e, em vez disso, construírem resiliência através da supervisão, coordenação e preparação. Os governos estão começando a responder. Os reguladores e as autoridades financeiras em todo o mundo alertam cada vez mais que a IA pode amplificar os riscos cibernéticos em sectores críticos.
Na Índia, depois de terem surgido relatos de que utilizadores não autorizados poderiam ter obtido acesso ao Mythos, a Ministra das Finanças, Nirmala Sitharaman, convocou uma reunião com o Ministro da Electrónica e das TI, Ashwini Vaishnaw, banqueiros e outras partes interessadas para avaliar os riscos colocados pela IA e as suas implicações para a segurança dos dados financeiros.
Os bancos foram aconselhados a estabelecer mecanismos para partilha de informações sobre ameaças em tempo actual com outros bancos, a Equipa Indiana de Resposta a Emergências Informáticas (CERT-In) e agências relevantes. Os bancos também foram solicitados a reportar atividades suspeitas e incidentes cibernéticos de forma mais proativa. O governo também criou um comité liderado por CS Setty, presidente do State Financial institution of India, para avaliar os riscos colocados pelo Mythos e recomendar salvaguardas.
Separadamente, o Reserve Financial institution of India introduziu um quadro em 2025 para promover a adopção responsável e ética da IA no sector financeiro.
Ainda assim, Mythos revela um problema mais profundo no sistema. O FMI salienta que os riscos não se limitam apenas ao sector financeiro. Setores como energia, telecomunicações e serviços públicos também são vulneráveis. A dependência de um pequeno número de plataformas de software program, fornecedores de nuvens e modelos de IA poderia aumentar ainda mais o impacto, porque muitos setores dependem da mesma infraestrutura.
Publicado – 10 de maio de 2026 01h45 IST
