No início deste ano, um único hacker e uma subscrição comercial de IA derrubaram o governo mexicano, roubando uma enorme quantidade de dados confidenciais num ataque que, anteriormente, teria levado meses a uma equipa especializada. E isso foi feito com um modelo Claude disponível ao público.
Desde então, o Mythos da Anthropic encontrou milhares de vulnerabilidades de dia zero em todos os principais sistemas operativos e navegadores, incluindo falhas que sobreviveram a décadas de revisão humana e milhões de testes de segurança automatizados. O intervalo entre a vulnerabilidade e a exploração efetiva é agora de horas, e a habilidade necessária para realizar um ataque grave continua a diminuir.
Mas os defensores dispõem de um contexto que os atacantes não têm. Têm o vosso código-fonte, o vosso comportamento em tempo de execução, a vossa arquitetura e o vosso gráfico de dependências. As organizações que estarão preparadas são aquelas que agem de forma proativa, em vez de esperarem que uma análise lhes indique que algo está errado. Esta lista de verificação baseia-se nas vantagens dos defensores: saber o que executam, controlar a vossa cadeia de abastecimento, identificar problemas reais antes que estes surjam noutro local e corrigi-los mais rapidamente do que o ciclo de exploração.
Para as equipas que querem preparar-se para o Mythos, isto é para vocês.
Uma lista de verificação prática para diretores de tecnologia (CTO) que enfrentam novas ameaças do Mythos e modelos relacionados
Nesta nova lista de verificação «Mythos-Ready», cada ponto foi redigido a pensar na pessoa que terá de o pôr em prática, com contexto suficiente para compreender por que razão é importante neste momento. Embora tenha sido concebida para diretores técnicos (CTO), os pontos abordados são suficientemente abrangentes para que os responsáveis pela segurança e os gestores de engenharia a considerem diretamente relevante para as áreas da sua responsabilidade.
Esta é uma referência dinâmica, pelo que poderá consultá-la sempre que a sua pilha de tarefas sofrer alterações ou quando for lançado um novo modelo que altere as capacidades dos atacantes. As ameaças evoluem tão rapidamente que o que era de baixa prioridade há seis meses pode ser urgente hoje.
A lista de verificação parte também do princípio de que os defensores podem vencer. Os pontos aqui apresentados visam garantir que está realmente a tirar partido das suas vantagens antes que alguém descubra as falhas primeiro.
Selecionámos alguns itens abaixo para lhe dar uma ideia do que está incluído.
Execute testes de penetração com IA na sua aplicação
O aspeto mais importante para se manter a par dos últimos desenvolvimentos em IA é ter a capacidade de testar a sua aplicação quanto a vulnerabilidades. Todos os responsáveis pela segurança tentam desenvolver esta capacidade internamente, mas existem soluções prontas a usar que já compararam os melhores modelos a utilizar para diversos casos de utilização.
Encare a aplicação de correções como um processo contínuo
As ferramentas de IA, nas mãos de pessoas mal-intencionadas, podem fazer engenharia reversa a uma correção de um fornecedor, descobrir o que ela corrige e criar um exploit funcional em poucas horas. O seu processo de lançamento precisa de disponibilizar as correções de segurança no mesmo dia em que estas ficam disponíveis. Avalie quanto tempo a sua equipa demora, na prática, a passar da fase de «correção crítica disponível» para a de «em execução em produção» e reduza esse tempo.
Permissões do agente Scope AI
Os agentes de codificação e os servidores MCP necessitam dos mesmos controlos de acesso que se aplicariam a qualquer utilizador de produção. Defina o que podem ler, escrever, executar e aceder. Um agente com permissões alargadas e sem registo de atividades é um colaborador interno não monitorizado com acesso direto ao seu código-fonte.
Proteja a sua cadeia de abastecimento baseada em agentes
Um servidor MCP comprometido pode alterar o comportamento dos agentes de formas difíceis de detectar e ainda mais difíceis de rastrear. Verifique minuciosamente todos os componentes dos agentes antes de os ligar aos seus sistemas, da mesma forma que avaliaria qualquer dependência de terceiros.
Estabelecer um processo de revisão de segurança para o código gerado por IA
As ferramentas de programação baseadas em IA produzem código a um ritmo mais rápido do que os processos de revisão foram concebidos para acompanhar. Implemente uma etapa de revisão antes de o código gerado pela IA chegar à produção e certifique-se de que esta abrange os testes gerados, a configuração da infraestrutura e as alterações nas dependências, e não apenas o código da aplicação.
Descarregue a lista de verificação de segurança compatível com o Mythos
Estes são apenas alguns dos pontos abordados. A lista de verificação completa abrange o inventário da superfície de ataque, os controlos da cadeia de abastecimento de agentes, a revisão de código gerado por IA, as verificações de dependências e malware, a resposta a incidentes em caso de ataques à velocidade da IA e muito mais.
Faça já o download da Lista de Verificação de Segurança Mythos-Ready e comece a implementar práticas que se mantêm eficazes independentemente do modelo utilizado pelo atacante.
