A inteligência artificial (IA) é disruptiva. O modelo Claude Mythos, da Anthropic, e seus sucessores prometem ser ainda mais disruptivos: podem ameaçar a indústria de bug bounty e/ou de segurança ofensiva interna.
A IA tem sido amplamente adotada tanto por atacantes quanto por defensores da cibersegurança. Os atacantes a utilizam para encontrar falhas e orquestrar ataques, que vão desde engenharia social sofisticada até o desenvolvimento de códigos de exploits e malware. Os defensores a utilizam para detectar ataques em andamento, identificar deepfakes (mídias sintéticas ultrarrealistas) e ajudar a codificar novos softwares, além de auxiliar caçadores de recompensas por bugs e profissionais de segurança ofensiva a descobrir vulnerabilidades para corrigi-las antes que possam ser exploradas.
Até agora, a IA se mostrou mais um multiplicador de força do que um substituto de posições. O Mythos ameaça alterar esse equilíbrio.
A evolução dos programas de bug bounty
Os programas de bug bounty e os testes de penetração (pentests) estão em estado de mutação. Isso não é novidade: tudo em cibersegurança está em constante mudança. Mas a chegada do Mythos pode proporcionar a mais rápida transformação já vista na segurança ofensiva.
Uma recompensa é uma premiação. "Morto ou vivo" era um slogan americano do início do século XIX. Esse conceito ainda sobrevive, mas agora as forças de segurança oferecem recompensas por informações sobre criminosos cibernéticos ativos.
Um bug bounty é uma recompensa por encontrar uma falha, não uma pessoa. Em 1983, a Hunter & Ready ofereceu um Volkswagen Beetle (popularmente conhecido como Fusca) como recompensa por encontrar um bug em seu sistema operacional VRTX. O novo slogan era "Ganhe um Fusca se encontrar um bug".
O conceito de bug bounty havia chegado e começou a se expandir a partir da década de 1990: Netscape em 1995; iDefence introduzindo o conceito de intermediário em 2002 (qualquer pessoa podia reportar qualquer bug a qualquer fornecedor); Mozilla para o Firefox em 2004, Google em 2010 e Facebook em 2011.
As plataformas de bug bounty HackerOne (com Kara Sprague como CEO) e Bugcrowd (cofundada por Casey Ellis) foram estabelecidas em 2012, seguidas por YesWeHack em 2015 e Intigriti (Inti De Ceukelaire) em 2016. Essas são as quatro principais plataformas de recompensas.
Durante a década de 2010, o conceito se expandiu e muitas outras empresas passaram a oferecer bug bounties. Em 2022, o caçador de recompensas Youssef Samouda pôde afirmar à SecurityWeek: "Com a Meta e o Google, eu ganho cerca de 400 mil dólares por ano." No final de 2022, a IA na forma de grandes modelos de linguagem (LLMs, na sigla em inglês) se tornou amplamente disponível e, no final de 2024 e início de 2025, o conceito moderno de IA agêntica autônoma começou a ganhar protagonismo. Em junho de 2025, a empresa de segurança ofensiva autônoma XBOW havia alcançado a primeira posição no ranking da HackerOne.
A história dos bug bounties mostra uma combinação consistente de expansão com uso crescente de automação e inteligência artificial – o que nos traz aos dias atuais. A segurança ofensiva interna seguiu um caminho semelhante, mas impulsionada por salários em vez de recompensas.
O bug bounty hoje
Cassim Khouani (conhecido online como Aituglo e listado entre os 30 maiores hackers da YesWeHack) escreveu The state of Bug Bounty in 2026, publicado em 13 de abril de 2026. Nele, ele descreve o uso do Claude para auxiliar na descoberta. Em uma noite, o sistema descobriu dez bugs. "Parece ótimo no papel. Só que metade deles eram duplicados, e o resto levou semanas para ser triado, porque a fila de relatórios daquele programa havia se tornado impossível de gerenciar. Bem-vindo ao bug bounty em 2026."
Ele acredita que o bug bounty como conhecemos hoje está morrendo. "O que vem a seguir pode ser melhor, se jogarmos corretamente."
Todos, ele sugere, estão usando alguma forma de IA para buscar bugs, 24 horas por dia, 7 dias por semana, sem se cansar. Funciona, mas com efeitos colaterais: "A gente acaba em uma névoa mental constante, pulando de um painel do tmux para outro, alternando de um programa para o próximo."
E as próprias plataformas de recompensas sofrem com tantas novas submissões assistidas por IA, com triagem e pagamentos demorando mais. As empresas que pagam recompensas também sofrem com mais relatórios de bugs, alguns de baixa qualidade e outros críticos.
"Cada vez mais empresas estão se afastando do bug bounty", escreve ele, "enquanto outras [como o Google] aumentam suas recompensas ou mudam suas políticas." Vale observar que, depois que Khouani escreveu isso em meados de abril de 2026, o Google reduziu suas recompensas por bugs do Chrome e aumentou as do Android em 30 de abril de 2026, citando a IA como causa de ambas as decisões.
Essa é uma transformação com o pé no acelerador: mudanças rápidas, mas não necessariamente para melhor.
"O bug bounty de 2024 está morto. O de 2026 é um esporte diferente. Os caçadores que vão se destacar não são aqueles que lançam mais agentes, mas aqueles que sabem o que procurar e onde procurar. A IA é um multiplicador, não um substituto."
Isso foi escrito por Khouani com base em sua experiência usando o Claude para auxiliar na busca por bugs. Mas, quase no mesmo momento em que ele publicou seu artigo, foi anunciado o Claude Mythos. As afirmações da Anthropic sobre o Mythos sugerem que o futuro da IA vai além de um simples multiplicador de força.
Mythos descobrindo vulnerabilidades
O Mythos supostamente tem desempenho superior ao de qualquer outro modelo de IA na busca por vulnerabilidades zero-day (falhas até então desconhecidas pelos desenvolvedores). "Nas últimas semanas, usamos o Claude Mythos Preview para identificar milhares de vulnerabilidades zero-day, muitas delas críticas, em todos os principais sistemas operacionais e em todos os principais navegadores web, além de uma série de outros softwares importantes", anunciou a Anthropic em 7 de abril de 2026.
Em maio de 2026, a Anthropic afirmou que seu Mythos Preview havia identificado mais de 23 mil possíveis vulnerabilidades após analisar milhares de projetos de software de código aberto.
A Anthropic está, ao que tudo indica, tão preocupada com a capacidade do modelo de encontrar bugs ainda não descobertos que disponibilizou o Mythos Preview para grandes fornecedores de software, permitindo que eles encontrem e corrijam suas próprias vulnerabilidades (Projeto Glasswing) antes que o modelo se torne amplamente disponível.
A CSA (Cloud Security Alliance) está igualmente preocupada e publicou um documento intitulado "The 'AI Vulnerability Storm': Building a 'Mythos-ready' Security Program", no qual recomenda: "Introduza agentes de IA na força de trabalho cibernética de forma abrangente, permitindo que os defensores acompanhem a velocidade dos atacantes e comecem a fechar a lacuna."
O presidente do Fed (banco central dos Estados Unidos), Powell, e o secretário do Tesouro, Bessent, se reuniram com os líderes dos principais bancos americanos para discutir os riscos cibernéticos que o Mythos pode introduzir; a Reuters noticiou que a "Indústria bancária corre atrás do Mythos da Anthropic enquanto reguladores globais analisam os riscos"; e a mídia tem estado cheia de reportagens improváveis, estranhas e surpreendentes.
Mas uma área recebeu pouca cobertura até agora: se o Mythos é capaz de encontrar bugs e desenvolver cadeias de exploits tão rapidamente, qual será o efeito disso sobre o valor e o futuro das atuais indústrias de bug bounty e segurança ofensiva? As organizações poderiam simplesmente apontar o Mythos para seus softwares e encontrar as falhas, sem precisar pagar recompensas ou contratar pentesters e red teams (equipes que simulam ataques reais) caros.
O futuro do bug bounty e da segurança ofensiva
O bug bounty e a segurança ofensiva não vão desaparecer; mas ambos precisam se adaptar a uma nova realidade. A IA se parece com um tiro de precisão: o projétil e seu efeito podem ser autônomos, mas ainda assim precisam de um humano para mirar e apertar o gatilho. A autonomia completa ainda está no futuro, e o envolvimento humano permanecerá por muitos anos. O que mudou foi a velocidade de entrega e a precisão.
Mantenha a calma e siga em frente: o Mythos não é revolucionário
Tod Beardsley, VP de pesquisa de segurança na runZero, orienta que o Mythos deve ser visto dentro do contexto histórico de uma indústria com pouco mais de 30 anos: qualquer avanço parecerá enorme e disruptivo enquanto acontece. "Para ser direto, não acho que o Mythos seja fundamentalmente diferente, nem a ferramenta de segurança do tipo 'VOCÊ PRECISA COMPRAR ISSO' que o marketing da Anthropic gostaria que acreditássemos. É uma ferramenta melhor, com certeza..."
Mas, acrescenta ele, "achar que este (ou qualquer) modelo é tão fundamentalmente poderoso, perigoso e revolucionário que você seria um tolo se não comprasse é embarcar no marketing clássico baseado em FUD – medo, incerteza e dúvida – que tantas vezes marca o marketing de cibersegurança... Este é apenas mais um passo no caminho para entender melhor o perfil de risco da sua rede específica".
Richard Ford, CTO (diretor de tecnologia) da Integrity360, concorda com a necessidade de manter a calma, mas acrescenta: "é preciso estar pronto para se adaptar". "O próprio system card (documento técnico de transparência) da Anthropic mostra que esse nível de desempenho dependeu de modelos sem censura, poder computacional estendido e reamostragem intensiva. Em outras palavras, isso ainda não é um cenário do mundo real."
No entanto, acrescenta: "Programas de bug bounty e testes conduzidos por humanos dependem de expertise e tempo. A IA começará a remodelar isso, embora áreas como lógica de negócios ainda dependam do entendimento humano."
É adaptação, não substituição, afirma Chris Payne, VP de engenheiros cibernéticos implantados na Sevii. "A descoberta se acelera para todos, mas o verdadeiro gargalo sempre foi a investigação e a remediação. Os defensores que vencerão combinarão IA agêntica com governança sólida, para que possam investigar, caçar e remediar na velocidade da máquina e em escala praticamente infinita, fechando a lacuna que os atacantes estão ampliando neste momento."
Jon David, cofundador e diretor-gerente (MD) da NR Labs, concorda. O poder do Mythos e da IA futura permitirá que os atacantes encontrem e
Nenhum comentário publicado até agora.