Desde que o Mythos foi lançado em abril, a Anthropic afirmou — e alertou — que o modelo possui capacidades avançadas não apenas para encontrar vulnerabilidades de software para ajudar defensores a corrigi-las, mas também para descobrir formas de explorá-las que poderiam ser usadas por atores mal-intencionados. A própria Anthropic observou essa faca de dois gumes no lançamento do Mythos 5 e do Claude Fable 5. "Uma grande parte do uso avançado de modelos de IA é de dupla utilização: as mesmas consultas que são benéficas nas mãos de profissionais de cibersegurança e pesquisadores de biologia podem ser perigosas se disponíveis para atores mal-intencionados", escreveu a empresa em um post em seu blog na semana passada.
Com isso em mente, a empresa inicialmente lançou uma versão chamada Mythos Preview para um consórcio selecionado como parte de um grupo de trabalho conhecido como Project Glasswing. O Mythos 5 também foi lançado privadamente para esse grupo na semana passada, enquanto o Claude Fable 5, que é um modelo de nível Mythos, foi lançado ao público geral com bloqueios específicos em sua capacidade de responder a perguntas sobre biologia e cibersegurança.
Então, no final da semana passada, a administração Trump se moveu para restringir ambos os modelos porque acredita que as restrições de segurança (guardrails) do Fable 5 podem ser desativadas para permitir acesso completo às capacidades do Mythos 5, alegadamente tornando-o um risco à segurança nacional.
Especialistas dizem, no entanto, que esse choque institucional está simplesmente adiando ou mascarando uma verdade dura: a Anthropic pode ser a ponta da lança neste momento, mas as capacidades de IA em geral e modelos de múltiplas empresas e desenvolvedores de código aberto quase certamente terão capacidades semelhantes ao Mythos 5 em um futuro próximo — se já não as têm.
"É míope ao extremo pensar que nenhum outro concorrente da Anthropic desenvolverá capacidades semelhantes ao Mythos ou mesmo que eles já não o fizeram", diz Tarah Wheeler, diretora de segurança da firma de consultoria especializada em cibersegurança TPO Group. "Há outras empresas pisando nos calcanhares da Anthropic que provavelmente também têm as capacidades e estão guardando-as em reserva enquanto observam como a Anthropic está sendo tratada no ambiente regulatório atual."
A própria Anthropic tem enfatizado esse ponto desde o lançamento do Mythos Preview. "A mensagem real é que isto não é sobre o modelo ou a Anthropic", disse Logan Graham, líder da equipe vermelha (time de testes de segurança) de fronteira da empresa, à WIRED quando o Mythos Preview foi lançado em abril. "Precisamos nos preparar agora para um mundo onde essas capacidades estarão amplamente disponíveis em 6, 12, 24 meses."
A OpenAI, por exemplo, também fez um lançamento privado de um modelo focado em cibersegurança em meados de abril e anunciou uma estratégia expandida de cibersegurança.
Pesquisadores observam que até mesmo antes desta próxima geração de modelos, ofertas existentes de IA poderiam ser usadas para busca avançada de vulnerabilidades e desenvolvimento de exploits com uma estrutura refinada. Um grande grupo de líderes em cibersegurança enfatizou isso à administração em uma carta aberta no domingo, argumentando que a diretiva de controle de exportações da Casa Branca era equivocada.
"Não é um modelo; é a tendência geral da tecnologia", diz Bruce Schneier, pesquisador da Universidade Harvard e da Universidade de Toronto que tem analisado a situação. "Modelos menores, mais baratos e de código aberto, às vezes por conta própria e às vezes em conjunto uns com os outros, podem igualar o desempenho do Mythos/Fable com prompts mais sofisticados. E devemos esperar que outros modelos igualem a criatividade e tenacidade do Mythos/Fable em meses — um pouco mais tempo para modelos de código aberto."
O que os governos devem fazer
O que a Casa Branca e governos ao redor do mundo precisam focar, dizem os especialistas, é desenvolver de forma democrática planos muito mais amplos e transparentes sobre como lidarão com os avanços nas capacidades de IA em cibersegurança e em outras áreas sensíveis à medida que inevitavelmente ocorrerem.
"A questão de política pública não é se uma tecnologia apresenta risco", diz Chris Wysopal, cofundador da firma de segurança em nuvem Veracode. "A questão é se uma restrição específica reduz有意义amente esse risco ou se principalmente retarda as pessoas que tentam tornar os sistemas mais seguros."
