Nas últimas semanas, o novo modelo de inteligência artificial Mythos gerou um debate intenso no setor tecnológico e da cibersegurança.

E não tanto pela sua capacidade de gerar texto ou automatizar tarefas, mas sobretudo por algo muito mais delicado: a sua capacidade de detetar vulnerabilidades de segurança em larga escala.

A questão importante não é apenas o que o Mythos consegue fazer.

A verdadeira pergunta é o que acontece quando modelos deste nível começam a descobrir falhas de segurança mais rapidamente do que somos capazes de as corrigir.

Um modelo demasiado poderoso para ser disponibilizado livremente

O Mythos é um novo modelo de inteligência artificial desenvolvido pela Anthropic, uma das principais empresas do setor.

Segundo a própria empresa, o modelo atingiu um nível de capacidade que a levou a tomar uma decisão pouco habitual: limitar a sua disponibilização devido aos riscos potenciais associados à sua utilização.

E uma das principais razões foi precisamente o seu comportamento nos testes de cibersegurança.

Quando a IA começa a encontrar vulnerabilidades em massa

Durante os testes internos, a Anthropic utilizou o Mythos para procurar fragilidades em sistemas amplamente utilizados como Windows, Android ou ambientes Apple.

O resultado foi preocupante.

O modelo conseguiu detetar um volume muito elevado de vulnerabilidades e possíveis exploits de segurança em muito pouco tempo.

Segundo a informação publicada pela própria empresa, o nível de descobertas foi suficientemente relevante para ativar processos urgentes de comunicação com fabricantes e fornecedores tecnológicos.

A parte positiva é que, neste caso, as descobertas foram partilhadas com empresas capazes de corrigir esses problemas através de patches e atualizações.

Mas o verdadeiro risco é outro.

O problema não é o Mythos

O problema é assumir que apenas o Mythos consegue fazer isto.

É razoável pensar que outras organizações, empresas ou até atores estatais já disponham de modelos semelhantes — ou mais avançados — com capacidades equivalentes.

E é aqui que surge uma questão incómoda do ponto de vista da gestão de riscos.

Enquanto algumas empresas recebem alertas e conseguem corrigir vulnerabilidades, outras poderão estar a utilizar estas capacidades para explorar essas mesmas falhas sem que ninguém o saiba.

A nova assimetria tecnológica

Outro elemento relevante deste caso é que a Anthropic decidiu partilhar parte das descobertas apenas com um grupo limitado de organizações.

Isto abre um debate importante.

Estaremos a entrar num cenário em que apenas determinadas empresas ou entidades terão acesso a modelos avançados capazes de detetar ameaças antes dos restantes?

Poderá surgir uma diferença real de segurança entre quem tem acesso a estas capacidades e quem simplesmente espera por atualizações quando o problema já existe?

Para além da inteligência artificial generativa

O debate sobre inteligência artificial costuma centrar-se na produtividade, automatização ou geração de conteúdos.

No entanto, casos como o Mythos recordam-nos que o verdadeiro impacto pode surgir em áreas muito mais críticas: cibersegurança, infraestruturas, vulnerabilidades ou capacidade ofensiva.

A inteligência artificial não apenas automatiza tarefas.

Também amplifica capacidades.

E isso inclui tanto capacidades defensivas como ofensivas.

Uma questão de gestão de riscos

Para além do impacto mediático, o caso Mythos deixa uma conclusão bastante clara.

As organizações dependem cada vez mais de sistemas digitais complexos e, ao mesmo tempo, a capacidade para detetar e explorar vulnerabilidades está a crescer de forma acelerada.

Por isso, práticas básicas como manter sistemas atualizados, rever vulnerabilidades ou aplicar rapidamente patches começam a ser mais importantes do que nunca.

Porque o problema já não é apenas a existência de falhas de segurança.

O problema é a velocidade com que podem ser descobertas e utilizadas.