Por Que Uma Década de Lógica de Detecção Torna os Números de Exploração do Mythos Menos Preocupantes

O modelo Mythos da Anthropic está encontrando milhares de vulnerabilidades, e a Mozilla confirma sua autenticidade. Contudo, a detecção comportamental nunca teve uma correspondência 1:1 com os exploits. Defensores focam em comportamentos, não em CVEs individuais; por exemplo, o Microsoft Office possui mais de 1.000 vulnerabilidades RCE, mas a detecção de documentos Office que geram processos filhos consegue abranger todas elas.

A detecção de anomalias baseada em machine learning não auxilia: ela é ineficaz na identificação de ataques novos, sofre drift à medida que os ambientes mudam, e os falsos positivos podem ter um spike quando o tráfego benigno se altera. Uma taxa de falsos positivos de 0.001 resulta em 1.000 alertas falsos por dia em um ambiente de um milhão de eventos, sobrecarregando os analistas. Regras comportamentais que visam ações sem um propósito legítimo permanecem stable ao longo dos anos e não sofrem drift. A verdadeira ameaça não é o volume de exploits, mas sim agentes de IA obtendo acesso a sistemas sensíveis e ataques de prompt injection que utilizam credenciais legítimas para executar ações maliciosas que os usuários nunca percebem.