Sua IA está em conformidade? Registre-se Hoje

Indústria

Claude Mythos Mudou Tudo. Suas APIs são o primeiro alvo.

April 14, 2026

Roey Eliyahu
CEO & Co-founder

A Anthropic acabou de lançar o Claude Mythos Preview. Eles não o disponibilizaram publicamente. Essa decisão por si só deve dizer-lhe tudo o que precisa de saber sobre o que este modelo é capaz de fazer.

Durante os testes internos, o Mythos descobriu e explorou autonomamente vulnerabilidades de dia zero em todos os principais sistemas operativos e navegadores web. Encontrou um bug de 27 anos no OpenBSD. Uma vulnerabilidade de 16 anos num codec de mídia amplamente utilizado. Já identificou milhares de falhas críticas que os defensores nunca tinham visto.

A Anthropic estava tão preocupada com as implicações ofensivas que informou a Reserva Federal, o Departamento do Tesouro e a Agência de Segurança Cibernética e de Infraestrutura antes do lançamento. A Fed e o Tesouro convocaram uma reunião de emergência com CEOs de grandes bancos especificamente para discutir a ameaça cibernética que este modelo representa.

Pense bem nisso. Um único modelo de IA desencadeou uma reunião de emergência nos mais altos níveis do sistema financeiro global.

A questão já não é se a IA consegue realizar ataques em larga escala. Agora sabemos que sim. A questão é se a sua superfície de ataque está preparada.

Isto Não É Um Problema Futuro

Quero ser direto sobre o que o Mythos representa para cada equipa de segurança. Isto não é um aviso sobre para onde a IA está a ir. Isto é uma descrição de onde a IA já está.

O Mythos é descrito pela Anthropic como uma mudança radical em relação a todos os modelos que o precederam, incluindo os seus próprios modelos Opus. Ele situa-se num nível de capacidade inteiramente novo. E embora a Anthropic tenha restringido o acesso a um consórcio de parceiros de defesa, essa limitação de acesso não durará para sempre. Modelos com este nível de capacidade não permanecem contidos.

A própria pesquisa da CrowdStrike encontrou um aumento de 89% em ataques assistidos por IA ano após ano. E isso foi antes do Mythos. Os atacantes já estão a usar IA. A lacuna entre a capacidade ofensiva da IA e a prontidão defensiva da IA está a aumentar a cada mês.

Descarregue o nosso eBook: O Estado da Segurança de IA e API: Navegando na Era Agêntica

O Caso McKinsey: O Que Acontece Quando as APIs Passam Despercebidas

Já vimos este padrão antes. Uma das empresas mais sofisticadas do mundo. APIs não autenticadas deixadas expostas. Um atacante encontra uma. Pivota através do ambiente. Em poucas horas, um comprometimento massivo de dados.

Esse ataque foi executado por um humano. Agora coloque o Mythos nas mãos desse atacante.

Um agente de IA que consegue raciocinar autonomamente sobre código, encadear exploits de várias etapas, executar milhares de sondagens paralelas e nunca parar, nunca dormir, nunca perder um endpoint, não se move à velocidade humana. Move-se à velocidade da máquina. A janela entre a descoberta de vulnerabilidades e a exploração ativa colapsa para perto de zero.

Não consegue corrigir o que não consegue ver. E, neste momento, a maioria das organizações não consegue ver a sua superfície de ataque de API completa.

A Superfície de Ataque Que Ninguém Está a Observar

Aqui está a verdade incômoda: a explosão da IA agentiva criou uma nova e massiva superfície de ataque que a maioria das equipes de segurança não inventariou, muito menos protegeu.

Cada agente de IA em seu ambiente comunica-se através de APIs. Cada servidor MCP. Cada integração interna. Cada conexão de terceiros. Cada API sombra que um desenvolvedor criou no último trimestre e que sua equipe de segurança desconhece.

Cada um desses é um potencial ponto de entrada para um modelo como o Mythos. E as antigas ferramentas de segurança de API foram construídas para um mundo onde os atacantes eram humanos. Elas não foram construídas para uma IA que pode enumerar toda a sua camada agentiva em minutos.

É exatamente por isso que a Salt construiu a Plataforma de Segurança Agentiva. Não porque isso estava por vir. Mas porque já está aqui.

Conheça Seu Perímetro. Corrija Antes Que Eles Encontrem.

A resposta a uma ameaça como o Mythos não é pânico. É disciplina. E começa com três coisas.

Primeiro: visibilidade. Você precisa de uma descoberta completa e em tempo real de cada ativo de API em seu ambiente. Não apenas suas APIs documentadas. Seus servidores MCP, suas conexões internas e externas, suas integrações de terceiros, suas APIs sombra. Se pode ser chamado, você precisa saber que existe. O Agentic Security Graph da Salt oferece esse mapa continuamente.

Segundo: postura. Uma vez que você pode ver toda a sua superfície de ataque, o AG-SPM da Salt informa onde você está exposto. Quais APIs não são autenticadas. Quais têm permissões excessivas. Quais comportamentos se parecem com reconhecimento. Você obtém uma visão real da postura, não um instantâneo pontual.

Terceiro: urgência. Vulnerabilidades priorizadas. Caminhos de remediação claros. Tempo rápido para valor. Nenhuma implantação de agente externo necessária. O objetivo é encontrar e corrigir suas exposições antes que o Mythos, ou o que vier depois do Mythos, as encontre para outra pessoa.

As organizações que agirem agora serão as que evitarão a próxima geração de manchetes de violação. As que esperarem serão o estudo de caso.

Este É o Momento

O próprio CEO da Anthropic escreveu que, se fizermos isso certo, há uma oportunidade real de construir uma internet fundamentalmente mais segura. Eu acredito nisso. Mas fazer isso certo exige que os defensores se movam tão rápido quanto a ameaça.

O evento decisivo está aqui. O Mythos é real. A superfície de ataque que ele visará são suas APIs, sua infraestrutura agentiva, sua camada MCP. A Salt foi construída exatamente para este momento.

Comece com visibilidade. Comece agora.

A Salt Security está oferecendo uma avaliação de segurança agentiva gratuita para que você possa mapear toda a sua superfície de ataque agentiva em minutos, não em meses.

Obtenha sua avaliação gratuita em salt.security/agentic-assessment

Blog da Salt Security

Assine a Newsletter da Salt para receber os recursos e posts de blog mais recentes.

Nossas últimas publicações