Desativação de modelos de IA como Mythos e Fable enfraquece a segurança cibernética nacional

O Mythos 5 não é um modelo genérico de linguagem: ele foi projetado desde a arquitetura para análise estática e dinâmica de código, com suporte nativo a ferramentas como Semgrep, CodeQL e Ghidra via API integrada. Sua capacidade de gerar exploits reais, não só relatar vulnerabilidades, foi validada em testes do UK AISI com CTFs especializados, onde atingiu 73% de sucesso em exploração real de falhas zero-day em sistemas Linux e Windows Server 2022. Isso o diferencia de modelos de propósito geral: ele opera como um pentester autônomo, não apenas como um analisador de sintaxe.

O Project Glasswing da Anthropic, lançado em 7 de abril de 2026, não era um programa de acesso limitado, era uma infraestrutura de segurança crítica. Ele entregava créditos de uso do Mythos Preview diretamente a mantenedores de bibliotecas como OpenSSL, curl, systemd e Rust’s stdlib, com pipelines automatizados que convertiam descobertas em PRs corretivos (como fez no Firefox, com 271 bugs fixados em uma única release). A desativação não interrompeu apenas consultas: parou fluxos contínuos de triagem automatizada, teste de regressão e geração de patches baseados em AST.

A cobertura CEVIU de 15 de junho ainda tratava o banimento como um fato isolado, com foco na ordem do governo e nas reações iniciais. Agora sabemos que o evento de 12 de junho foi o primeiro uso real da autoridade de controle de exportação para IA, e não apenas um aviso ou ameaça. Também confirmamos que a desativação global foi inevitável por limitações técnicas: a Anthropic não tem mecanismo de verificação de nacionalidade em tempo real em sua API, e não havia fallback viável (como geoblocking ou token-based nationality claims), o que torna a decisão operacionalmente irreversível, não meramente política.

Desativar o Mythos 5 não remove riscos, remove a única ferramenta capaz de escanear milhões de linhas de código legado em tempo real com precisão de nível humano. Enquanto o GLM-5.2 da Z.ai ou o Kimi K2.7-Code oferecem acesso aberto, nenhum deles possui o fine-tuning específico para análise de vulnerabilidades em C/C++ legacy, firmware embarcado ou protocolos industriais (IEC 61850, Modbus TCP), áreas onde o Mythos tinha cobertura documentada. A restrição também enfraquece a cadeia de segurança de código aberto: 97 dos 1.596 bugs relatados até maio foram patcheados, mas os outros 1.499 permanecem em fila, sem triagem humana suficiente para priorizá-los. O problema não é a IA ser perigosa. É que ela virou o único engenheiro de segurança disponível para 80% dos projetos críticos.