Existe um modelo que a Anthropic construiu e se recusou a lançar. Isso já diz tudo.
Em 7 de abril, Antrópico Anunciou a prévia de Claude Mythos… e então, quase que imediatamente, disse que o público não a receberia. Não porque não funcionasse. Porque funcionava bem demais.
O Mythos é um modelo de pesquisa antrópico interno desenvolvido para testar os limites do que grandes modelos de linguagem podem fazer no domínio da segurança de software e pesquisa de vulnerabilidades – e encontrou milhares de vulnerabilidades zero-day desconhecidas durante os testes. Ele consegue identificar e explorar vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores web. Criou um exploit para navegador web que encadeou quatro vulnerabilidades. Obteve, de forma autônoma, escalonamento de privilégios local no Linux, explorando condições de corrida sutis. Engenheiros sem formação formal em segurança pediram que ele encontrasse vulnerabilidades de execução remota de código durante a noite – e acordaram trabalhando. explorações.
Anthropic chamou isso de Momento decisivo para a segurança – e se recusou a divulgá-lo.
Essa decisão revela algo importante. O equilíbrio entre ataque e defesa na segurança cibernética acaba de mudar. ataques baseados em IA Não são mais questões teóricas. Não são um problema do ano que vem. A pergunta que toda equipe de segurança precisa fazer agora é: quando um invasor obtiver acesso a um modelo como este (ou similar), o que ele encontrará no seu ambiente?
A resposta depende quase que exclusivamente de uma coisa: seus dados.
A Nova Realidade do Risco de Dados Impulsionado por IA
• Modelos de IA como o Mythos podem descobrir e explorar vulnerabilidades em grande escala de forma autônoma.
• O verdadeiro risco não é a exploração da vulnerabilidade, mas sim os dados sensíveis expostos por trás dela.
• Os conjuntos de dados não classificados e sem governança criam uma exposição total a ataques impulsionados por IA.
• A segurança perimetral tradicional não consegue acompanhar as ameaças de IA autônoma.
• A descoberta, classificação e controle de acesso contínuos aos dados são agora essenciais.
• Organizações que priorizam a visibilidade dos dados superarão os ataques baseados em IA.
As organizações precisam de visibilidade contínua dos dados sensíveis com um Plataforma de segurança e governança de IA para reduzir o risco antes que ele se manifeste.
A verdadeira superfície de ataque não é a vulnerabilidade em si, mas sim o que está por trás dela.
As equipes de segurança tendem a se concentrar na vulnerabilidade explorada: a técnica, a CVE, o vetor. O Mythos e modelos semelhantes mudam essa lógica, pois conseguem encontrar a vulnerabilidade de forma autônoma. Essas capacidades surgiram não porque a Anthropic treinou o Mythos para hackear, mas sim como consequência de melhorias gerais no código, no raciocínio e na autonomia. A mesma inteligência que torna um modelo melhor em corrigir bugs também o torna melhor em encontrá-los.
Na prática, isso significa que a parte mais difícil de um ataque não é mais encontrar a porta, mas sim decidir o que fazer depois de entrar.
E o que se encontra na maioria dos ambientes corporativos? Um conjunto de dados que nunca foi totalmente inventariado, governado ou classificado adequadamente. gerenciamento da postura de segurança de dados. Dados sensíveis dispersos em armazenamento na nuvem, sistemas locais, aplicativos SaaS e ferramentas de colaboração. Segredos, credenciais, Informações de identificação pessoal, e propriedade intelectual proprietária situada em locais que ninguém mapeou – porque, até então, a ameaça de alguém encontrar e explorar sistematicamente tudo isso em uma única varredura autônoma parecia distante.
Não mais.
Joias da Coroa na Era do Ataque Impulsionado por IA
A expressão "joias da coroa" sempre se referiu aos dados que causariam o maior dano se expostos: informações pessoais de clientes, registros de saúde, dados financeiros, segredos comerciais, código-fonte, credenciais de autenticação, informações de fusões e aquisições. Historicamente, os programas de segurança protegeram esses ativos por meio de controles de perímetro: mantendo-os em locais reforçados, restringindo o acesso e registrando quem os manipula.
Esse modelo pressupõe que o atacante tenha que se esforçar para encontrar os dados sensíveis. Ele precisa saber onde procurar. Precisa encadear exploits manualmente, mover-se lateralmente com esforço e decidir quais portas abrir.
Os atacantes com inteligência artificial não funcionam dessa maneira. Um modelo como o Mythos não se cansa. Ele não faz suposições. Ele raciocina sistematicamente através de um código-fonte, um sistema de arquivos, uma interface de API – e encontra coisas que os atacantes humanos não percebem porque tem mais paciência, mais contexto e mais capacidade do que qualquer atacante individual.
Quando essa capacidade se depara com um ambiente de dados sem governança, o resultado não é uma violação direcionada. É a exposição total: tudo o que é sensível, revelado de uma só vez, porque nada estava classificado, restrito ou sequer visível com a devida proteção. classificação e visibilidade de dados Aos defensores que poderiam ter interceptado a bola.
As joias da coroa não são simplesmente roubadas. Elas são ionizadas. Desmembradas, indexadas e disponibilizadas para qualquer pessoa com a consulta correta.
Como é a abordagem proativa atualmente?
A própria definição de Mythos feita pela Anthropic é instrutiva: eles acreditam que, eventualmente, modelos como esse beneficiarão mais os defensores do que os atacantes, mas o período de transição pode ser turbulento, e a vantagem pertencerá a quem souber tirar o máximo proveito dessas ferramentas primeiro.
Para as empresas, isso significa que a postura defensiva precisa mudar. Esperar que incidentes direcionem a governança de dados é uma estratégia fadada ao fracasso, visto que os incidentes agora podem ocorrer mais rapidamente, em maior escala e com menos intervenção humana do que nunca. Ser proativo significa começar antes da violação: não com melhor detecção, mas com maior visibilidade.
As equipes de segurança que estão vencendo essa transição estão fazendo cinco coisas:
1. Saiba quais dados você possui — antes que um invasor os tenha.
Isso parece básico. A maioria das organizações não consegue fazer isso. Dados sensíveis se acumulam ao longo de décadas em sistemas, migrações e TI paralela. Um invasor com inteligência artificial não precisa de um mapa — ele criará um. Você precisa de um primeiro.
Aumente a visibilidade com a descoberta e classificação de dados.
2. Classifique antes de conectar
Cada pipeline de IA, sistema RAG ou fluxo de trabalho agético Você cria um novo canal através do qual dados sensíveis podem ser acessados e expostos. Dados que entram no contexto de um LLM sem classificação são dados que foram entregues a um potencial vetor de exfiltração sem rótulo.
3. Trate o acesso à IA como acesso privilegiado.
Se o seu assistente de IA empresarial consegue acessar simultaneamente registros de RH, documentos financeiros e código-fonte, ele é a conta com mais privilégios em todo o seu ambiente. Candidate-se. princípios de privilégio mínimo com o mesmo rigor que você aplicaria a um administrador humano.
Operacionalizar a Governança de Acesso a Dados
4. Descubra continuamente — não apenas uma vez
Os conjuntos de dados não são estáticos. Dados sensíveis são criados constantemente, acabam em locais inesperados e se acumulam em sistemas que ninguém verifica há anos. Projetos de descoberta pontuais tornam-se obsoletos. A classificação contínua é a única postura que acompanha o ritmo.
5. Criar políticas de segurança de dados específicas para IA
Que dados podem ser inseridos em sistemas de IA? Quais resultados precisam ser revisados? O que constitui uma recuperação anômala? Essas perguntas precisam de respostas antes da implementação, não depois de um incidente.
É aí que o BigID entra em cena.
BigID Foi construída com base numa premissa que nunca foi tão urgente: não se pode proteger o que não se consegue encontrar.
Quando uma funcionalidade como o Mythos existe, e quando funcionalidades semelhantes inevitavelmente se tornarão acessíveis a um conjunto mais amplo de agentes, a questão fundamental para todas as equipes de segurança é: O que um atacante com inteligência artificial encontraria em nosso ambiente? A resposta está em seu conjunto de dados, e a maioria das organizações não sabe o que há lá.
A BigID oferece às equipes de segurança visibilidade profunda e contínua em ambientes de nuvem, locais e SaaS. Descobrir e classificar dados sensíveis em grande escala.Informações pessoais identificáveis (PII), credenciais, propriedade intelectual (IP), dados regulamentados, dados ocultos e muito mais. Revela os dados mais valiosos que estão à vista de todos: as chaves de API na wiki interna, os números de segurança social (SSNs) no arquivo do helpdesk, o código proprietário indexado na ferramenta de busca corporativa — e fornece às equipes as ferramentas para agir: remediar, restringir, governar e aplicar políticas antes da violação, não depois.
A Anthropic lançou o Projeto Glasswing especificamente para dar aos defensores uma vantagem inicial usando o Mythos para ajudar a proteger softwares críticos antes que recursos semelhantes cheguem aos adversários. A mesma lógica se aplica à postura de segurança de dados. A oportunidade de se antecipar a isso está aberta. As organizações que a aproveitarem serão aquelas que tornaram a visibilidade de dados uma prioridade de segurança de primeira classe – e não um mero diferencial – antes do lançamento do próximo modelo.
As joias da coroa só têm valor se permanecerem no cofre. O tempo está correndo.
Veja como a BigID protege dados de IA em escala.
Proteja seus dados mais sensíveis antes que os invasores os encontrem. Obtenha visibilidade completa do seu conjunto de dados, reduza os riscos gerados por IA e implemente a governança em todos os ambientes — antes que a exposição se transforme em violação de dados.
Autor
