O Banco Central Europeu convocou os principais bancos para conversas de emergência sobre ameaças de segurança cibernética representadas por modelos avançados de inteligência artificial, especificamente o Claude Mythos da Anthropic. O BCE alertou que os atacantes agora podem fazer engenharia reversa de correções de segurança em menos de 30 minutos, um ritmo que ameaça superar os ciclos tradicionais de correção. A medida ocorre enquanto os reguladores se esforçam para conter o impacto de vulnerabilidades impulsionadas por IA que estão remodelando o cenário de ameaças.
Modelo de IA quebra marcos de defesa
O Instituto de Segurança de IA do Reino Unido testou o Claude Mythos Preview e descobriu que ele superou 73% dos desafios especializados de Capture the Flag — um marco que nenhum modelo de IA havia alcançado antes de abril de 2025. Os exercícios de Capture the Flag simulam ataques cibernéticos do mundo real e exigem raciocínio técnico profundo. Os resultados do instituto sugerem que sistemas de IA de fronteira agora podem identificar e explorar fraquezas mais rapidamente do que as equipes de segurança humana podem mitigá-las.
Resposta de correções da Mozilla
A Mozilla teve que emitir 271 correções de segurança no Firefox 150 com base em vulnerabilidades descobertas pelo Claude Mythos. Esse número excede em muito as correções geradas pelo modelo anterior, Opus 4.6, e mostra a rapidez com que a IA pode encontrar falhas em software amplamente utilizado. O episódio ressalta a pressão sobre os desenvolvedores para corrigir bugs antes que os atacantes os transformem em armas.
Urgência do BCE: 'andante para presto'
O vice-presidente do BCE, Frank Elderson, disse que os bancos precisam acelerar a implantação de correções de um ritmo 'andante' para 'presto' porque a IA está acelerando as ameaças. O BCE supervisiona 111 grandes bancos da zona euro, a maioria dos quais não tem acesso direto a modelos de IA de fronteira como o Claude Mythos por meio da iniciativa bancária Projeto Glasswing. Essa lacuna deixa muitas instituições cegas para as próprias ferramentas que seus adversários podem estar usando.
O aviso de Elderson aponta para um problema simples: se os defensores não podem testar contra a IA mais recente, não podem antecipar os ataques que ela possibilita. O BCE não especificou prazos para conformidade, mas a mensagem é clara — ciclos lentos de correção não são mais aceitáveis.
Acesso desigual à IA de fronteira
O Projeto Glasswing foi criado para dar aos bancos acesso a modelos avançados de IA, mas a participação é limitada. A maioria dos bancos supervisionados pelo BCE ainda está excluída. Essa assimetria cria uma dinâmica perigosa — os atacantes podem explorar fraquezas que os defensores nem viram modeladas. O BCE está pressionando por um acesso mais amplo, mas nenhum prazo foi anunciado.
A questão imediata é se os 111 bancos sob supervisão do BCE receberão as ferramentas necessárias para acompanhar, ou se a lacuna entre ataque e defesa continuará aumentando.
