Claude Mythos pode hackear uma empresa do início ao fim, sem intervenção humana

Um relatório do Instituto de Segurança de IA (AISI) do Reino Unido revelou como o Claude Mythos, o novo modelo da Anthropic, consegue executar ataques informáticos complexos de forma totalmente independente. A inteligência artificial (IA) já consegue ultrapassar barreiras que antes exigiam especialistas humanos.

Domínio total do Claude Mythos na cibersegurança

Medir a eficácia de uma IA num cenário de ataque real é uma tarefa árdua, uma vez que estas operações exigem a execução de dezenas de ações coordenadas ao longo de vários dias. Estas manobras envolvem a travessia de múltiplos sistemas e segmentos de rede, algo que raramente se consegue replicar num laboratório comum.

Perante este desafio, o AISI decidiu testar o Claude Mythos e os resultados obtidos deixaram os investigadores profundamente apreensivos. De acordo com as informações publicadas no portal oficial da instituição, o Claude Mythos demonstrou ser capaz de realizar diversos tipos de ciberataques de forma autónoma.

O modelo conseguiu resolver desafios de nível perito para identificar vulnerabilidades e encadear todos os passos ofensivos sem auxílio externo. Embora esta versão atual ainda não atinja o patamar de piratas informáticos lendários, como Kevin Mitnick, as futuras atualizações prometem elevar o nível.

Nos testes conhecidos como Capture The Flag (CTF), onde os modelos devem detetar e explorar falhas em sistemas para recuperar dados protegidos, o Claude Mythos posicionou-se no topo da classificação. A ferramenta da Anthropic superou o Claude Opus 4.6 e o GPT-5.4, tanto em tarefas básicas como em cenários avançados.

A parte mais impactante do relatório refere-se à simulação de ataques estruturados. O AISI desenvolveu o ambiente "The Last Ones", uma simulação de ataque a uma rede empresarial composta por 32 etapas consecutivas, que abrangem desde o reconhecimento inicial até ao controlo total da infraestrutura.

O Claude Mythos foi o primeiro modelo a concluir este trajeto do princípio ao fim em 3 de 10 tentativas, mantendo uma média de 22 passos em todas as execuções realizadas.

A complexidade das operações autónomas em redes corporativas

Segundo os especialistas do AISI, a conclusão deste teste exige o encadeamento de ações em fases críticas, tais como a extração de credenciais, a exploração de aplicações web e a escalada de privilégios. Estima-se que um hacker humano qualificado necessitaria de aproximadamente 20 horas de trabalho contínuo para completar todo este cenário.

O modelo que mais se aproximou deste desempenho foi o Claude Opus 4.6, que ficou a poucos passos de obter o controlo total. Por outro lado, outras IA, como o GPT-5.4, o Codex ou o Claude Sonnet 4.5, limitaram-se a obter credenciais básicas, falhando sempre no momento de elevar os privilégios de acesso ao sistema.

Apesar de os dados sugerirem que o Claude Mythos representa um risco considerável, o relatório também aponta as suas fragilidades. A IA não foi capaz de superar o desafio "Cooling Tower", um ambiente de simulação focado em tecnologia operacional e infraestruturas industriais.

Isto indica que o modelo tende a bloquear antes de conseguir interagir com componentes industriais físicos, mostrando que ainda existem barreiras para este tipo de ataques específicos.

Em conclusão, os investigadores alertam que o Claude Mythos pode comprometer facilmente sistemas de pequenas empresas com segurança reduzida, instando as organizações a reforçarem as suas defesas perante esta nova ameaça.

Leia também: