Anthropic "Mythos" invade o setor de cibersegurança, Bernstein: Não entrem em pânico, vocês interpretaram mal

O novo modelo da Anthropic, “Mythos”, devido à descrição de uma melhoria significativa nas capacidades de “cibersegurança”, provocou uma venda em massa no setor de cibersegurança; mas a Bernstein, de seguida, emitiu um esclarecimento: os investidores interpretaram mal essa informação. Isto não significa, nem que a Anthropic entre no mercado de software de cibersegurança, nem que vá abalar os ventos estruturais favoráveis à IA para esse setor.

Segundo uma reportagem da revista Fortune na passada sexta-feira, o modelo “Mythos” que a Anthropic está prestes a lançar promete “pontuações significativamente mais altas” em codificação de software, raciocínio acadêmico e testes de cibersegurança. Essa formulação desencadeou imediatamente uma venda no mercado: a maioria das referências de cibersegurança cobertas pela Bernstein, como a Cloudflare, caiu entre 5% e 7%.

Analistas da Bernstein responderam rapidamente nesse mesmo dia, assinalando que o conteúdo de “cibersegurança” do “Mythos” é, na realidade, uma melhoria rotineira das capacidades de segurança do código, bem como medidas proativas da Anthropic para evitar que seu produto seja explorado de forma maliciosa. Ambos os pontos não constituem uma relação de concorrência com a indústria de software de cibersegurança e também não enfraquecem a lógica de impulso da procura que a IA traz para esse setor.

Num relatório, a Bernstein afirmou de forma explícita que mantém inalteradas as classificações, os preços-alvo e as previsões financeiras das empresas por ela cobertas, incluindo todas as empresas de cibersegurança.

De onde vem o pânico do mercado

Na reportagem da Fortune, a linguagem sobre a melhoria das capacidades em “cibersegurança” foi o gatilho direto para essa venda.

Os investidores interpretaram-na como duas ameaças potenciais: primeiro, a entrada direta da Anthropic no mercado de software de cibersegurança, criando concorrência com fornecedores existentes; segundo, o aumento das capacidades dos modelos de IA pode reduzir a intensidade dos ciberataques, enfraquecendo assim a procura por ferramentas tradicionais de segurança.

Um analista da Bernstein descreveu que os investidores “são tão pontuais como um relógio”: assim que surge uma formulação sobre um salto de capacidades em cibersegurança, ocorre uma venda em massa das ações relacionadas a softwares.

O que o “Mythos” está verdadeiramente a fazer: segurança de código e prevenção de abuso

A Bernstein decompôs o conteúdo de cibersegurança do “Mythos” em dois níveis.

O primeiro é a melhoria das capacidades de segurança do código. O analista considera que isto faz parte da “higiene” básica do produto, é também o padrão mínimo esperado pelo mercado para os produtos da Anthropic e não limita o valor da maioria das outras ferramentas de cibersegurança.

Já tinham indicado anteriormente que a percentagem de falhas de software em incidentes de intrusão é relativamente limitada, pelo que o alcance das empresas diretamente atingidas pelas funções de segurança do código da Claude também é limitado.

O segundo é a prevenção de que o produto seja utilizado de forma abusiva. Essa é a lógica mais central por trás deste lançamento. A indústria de cibersegurança tem registros amplos: após a Claude ser comprometida, ela pode ser usada por agentes maliciosos para identificar vulnerabilidades e construir rapidamente malware direcionado. Sua velocidade muitas vezes supera a velocidade com que o fornecedor de software ou os utilizadores conseguem completar a correção de patches.

Além disso, os atacantes também podem usar métodos de comprometimento para sequestrar agentes internos construídos na empresa com base na Anthropic, realizando movimentos laterais, captura de contas e exfiltração de dados.

A Bernstein afirmou que lidar com esses riscos não é um tema novo para a Anthropic; a empresa tem discutido continuamente e adotado medidas proativas de proteção. O lançamento atual é uma intensificação de uma direção já existente, e não uma mudança estratégica.

A favor da IA em cibersegurança continua intacto

O analista refutou a avaliação de que “o vento a favor da IA está prejudicado” por dois motivos.

Primeiro, a Anthropic é apenas uma fornecedora no mercado de grandes modelos de linguagem. Existem muitos fornecedores de LLM de “cauda longa” no mercado, e nem todos avançam de forma proativa com mecanismos de prevenção de abuso como a Anthropic.

Mais importante ainda, já existem LLMs open source que circulam amplamente sem supervisão; mesmo que suas capacidades não sejam tão fortes quanto as da Claude, ainda podem ser usados de forma eficaz por agentes maliciosos para construir malware ou realizar ataques de phishing.

A Bernstein lembra que, mesmo na ausência dessas ferramentas atualmente, os atacantes continuam a obter sucesso, o que significa que a qualidade das ferramentas não precisa ser muito elevada; basta que ofereçam uma alavanca adicional para os atacantes.

Segundo, o espaço de crescimento da IA no setor de cibersegurança vem, em grande parte, do surgimento de novas soluções de segurança, e não apenas do reforço da procura por ferramentas existentes.

O analista indicou que, na conferência RSA desta semana, quase todos os expositores focaram em direções emergentes como o Agentic SOC (Centro de Operações de Segurança Inteligente), segurança de identidade de agentes e segurança de dados de agentes.

Essas oportunidades de mercado não serão afetadas pela intensificação da segurança do produto por parte da Anthropic. Além disso, como a maioria das empresas manterá uma postura técnica neutra em relação aos grandes modelos de linguagem, a procura por soluções de proteção com múltiplos agentes continuará a existir.

Aviso de risco e cláusulas de isenção de responsabilidade

        Há risco no mercado; invista com cautela. Este artigo não constitui aconselhamento de investimento pessoal, nem considera os objetivos específicos de investimento, a situação financeira ou as necessidades de utilizadores individuais. Os utilizadores devem considerar se quaisquer opiniões, pontos de vista ou conclusões neste artigo se ajustam à sua situação específica. Ao investir com base nisto, a responsabilidade é sua.