Cérebro do tamanho de um planeta: IA pensa mais, mas não necessariamente melhor em segurança

O teste de 26 combinações entre Claude 4.6/4.7 e GPT-5.4/5.5 não é só mais um benchmark: é um raio-X do momento crítico em que a IA cibernética deixou de ser promessa e virou pressão operacional real. A falha sistemática em detectar vulnerabilidades como openbsd-sack sem pistas, mesmo com modelos recém-lançados (GPT-5.5 em 23/04, Claude Fable 5 em 09/06) e janelas de contexto de até 1M tokens, mostra que 'mais cérebro' não resolve o problema central: a falta de modelo mental de sistema. Os LLMs ainda enxergam código como texto estatístico, não como comportamento executável.

O contraste com o MDASH da Microsoft é revelador: enquanto os modelos isolados travam no arquivo completo, o MDASH (prévia expandida desde 02/06) orquestra agentes especializados para decompor, simular e validar, descobrindo 16 falhas novas no Windows. Isso não é evolução incremental; é mudança de paradigma: de 'modelo que pensa' para 'sistema que age'. E o custo disso? $9.200 só nessa rodada de testes, um valor que já foi superado por equipes de segurança que migraram para pilotos agênticos com orçamentos fixos mensais.

A CEVIU já havia mostrado, em 13/04, que a fronteira da IA em segurança é 'jagged': modelos menores igualam ou superam os maiores em tarefas específicas. Agora, com dados frescos de junho/2026, vemos que essa assimetria se aprofundou, e se tornou estrutural. O GPT-5.5-med supera o GPT-5.5-xhigh, e o Claude Opus 4.7-high bate o xhigh. Isso não é ruído: é confirmação de que o 'esforço de raciocínio' está virando um parâmetro de engenharia, não de marketing. Além disso, o que era rumor em abril, sobre o Mythos Preview da Anthropic identificar milhares de vulnerabilidades, agora é realidade com o Mythos 5, mas sob restrições rígidas: acesso suspenso para estrangeiros desde 16/06 e integração exclusiva via Project Glasswing (200 organizações em junho).

Porque a indústria está gastando milhões para descobrir bugs que ninguém consegue triar. A taxa de 1,9% de 'solução completa' significa que, em 100 relatórios gerados por IA, menos de dois contêm cadeia de exploração válida, o resto exige revisão humana. Isso transforma ferramentas de detecção em fonte de dívida técnica. E o pior: o aumento de esforço computacional piora o filtro de conteúdo (até 21% em alguns casos), cortando respostas no meio. Para time de segurança, isso não é falha de modelo, é falha de processo. A saída não é esperar pelo 'próximo GPT', mas adotar arquiteturas híbridas: LLMs para geração inicial + agentes especializados (como no MDASH) + validação humana focada em *exploitability*, não em *existence*.