Segurança do macOS cai graças ao Claude Mythos da Anthropic

A capacidade da Anthropic de encontrar falhas em software e plataformas existentes já recebe atenção especial. Investigadores da Mozilla afirmaram que o Claude Opus 4.6 da Anthropic descobriu 14 falhas de alta gravidade e identificou 22 CVEs em duas semanas. Agora o foco do Claude Mythos parece ser o macOS e a segurança dos produtos da Apple.

Claude Mythos quebrou a segurança do macOS
Os investigadores de segurança que utilizam uma versão de teste do modelo Mythos, mais poderoso da Anthropic, afirmam agora ter contornado a tecnologia de segurança do macOS da Apple. Os investigadores da Calif, uma empresa de investigação em cibersegurança com sede em Palo Alto, disseram ao The Wall Street Journal que usaram uma "exploração de escalonamento de privilégios".
Esta falha, combinada com outro vetor de ataque, poderia permitir aos atacantes obter o controlo do dispositivo alvo. Revelaram que desenvolveram um software capaz de ligar duas falhas distintas. A isso somaram "uma série de outras técnicas", para "corromper a memória do Mac e depois obter acesso a partes do dispositivo que deveriam ser inacessíveis".
A vulnerabilidade demorou cinco dias a ser descoberta, mas os investigadores referiram que não poderia ter sido explorada apenas pelo Mythos da Anthropic. Exigiu ainda a perícia dos seus hackers. A Apple afirmou que está a analisar o relatório para testar as suas conclusões. "A segurança é a nossa principal prioridade e levamos muito a sério os relatos de possíveis vulnerabilidades", disse um porta-voz ao Wall Street Journal.
Ferramenta da Anthropic está ainda limitada
A Anthropic lançou o Mythos em abril. No entanto, limitou o acesso a um grupo restrito de cerca de 40 empresas tecnológicas. Afirmou que o Mythos encontrou milhares de vulnerabilidades de alta gravidade utilizando a ferramenta, incluindo algumas "em todos os principais sistemas operativos e browser da Web". Alertou ainda que, se tais capacidades proliferarem entre agentes maliciosos, as consequências "poderão ser graves".
Michał Zalewski, investigador de segurança da Google, analisou a investigação da Universidade da Califórnia, embora não tenha participado nos testes. Alertou que, embora parte da propaganda em torno do Mythos seja “exagerada”, afirmou ao jornal que ainda é possível utilizar as ferramentas da Anthropic para “uma pesquisa significativa de vulnerabilidades e auditoria de código”.
Apesar dos relatos sobre as capacidades do Mythos, há quem questione se o modelo é demasiado poderoso para distribuição pública. Gary McGraw, antigo vice-presidente da empresa de cibersegurança Synopsys, declarou recentemente ao The New York Times: “A tecnologia não é demasiado perigosa para ser libertada”, acrescentando: “Se não libertar uma ferramenta como esta — ou a guarda para si —, não está a resolver o verdadeiro problema”.