A ASIC alerta as empresas financeiras sobre os riscos cibernéticos da IA

A Comissão Australiana de Valores e Investimentos (ASIC) alertou as empresas financeiras para reforçarem as defesas cibernéticas, apontando que modelos avançados de IA, como o Mythos da Anthropic, estão a revelar falhas de software, segundo a Reuters. A comissária da ASIC, Simone Constant, afirmou que as empresas devem agir antes de a ameaça se tornar mais clara e concentrar-se em medidas básicas de resiliência cibernética.

Contexto Regulatório

O aviso surgiu um mês depois de a Autoridade de Regulação Prudencial da Austrália ter emitido o seu próprio alerta sobre práticas de segurança que estão a ter dificuldade em acompanhar a IA. Uma investigação separada do Cambridge Centre for Alternative Finance concluiu que apenas 20% dos reguladores tinham avançado na adoção de IA e que os supervisores estavam atrás das empresas financeiras na deteção de danos emergentes.

Capacidades do Exploit do Mythos

A pré-visualização (Preview) do Mythos da Anthropologic vai além de identificar vulnerabilidades: pode escrever exploits funcionais para falhas de software. O modelo, de forma independente, encontrou e explorou um bug com 27 anos no OpenBSD, um sistema operativo open source construído para a segurança. O Mythos também utilizou o CVE-2026-4747 para alcançar execução remota de código como root através do Network File System (NFS) no FreeBSD, outro sistema operativo open source.

A Anthropic afirmou que o modelo encontrou milhares de vulnerabilidades de elevada gravidade em sistemas operativos e navegadores web importantes, muitas das quais tinham passado despercebidas durante anos ou décadas. O acesso ao Mythos Preview é limitado, e o Project Glasswing reúne a Amazon Web Services, as equipas de segurança da Apple, a Google, a Microsoft, a NVIDIA e outras entidades para proteger software amplamente utilizado antes de ferramentas semelhantes se disseminarem.

Impacto na Economia da Cibersegurança

Esta capacidade altera significativamente o custo e o calendário para lançar ciberataques. Bugs que antes eram tratados como de baixo risco passam agora a ser motivo de maior preocupação, porque o Mythos Preview consegue construir exploits em horas — um trabalho que, segundo testadores de intrusão especializados, teria levado semanas usando métodos tradicionais. Esta mudança significa que as empresas financeiras e outras organizações podem precisar de ciclos de correção mais rápidos e de defesas mais automatizadas.

Testes noutros modelos de IA de fronteira sugerem que competências cibernéticas avançadas acompanham o progresso mais amplo da IA, indicando que a ameaça deverá crescer.

FAQ

O que é o Mythos e porque é uma preocupação para as empresas financeiras?

O Mythos é o modelo avançado de IA da Anthropic que consegue identificar vulnerabilidades de software e escrever exploits funcionais. A ASIC alertou as empresas financeiras porque o Mythos pode expor falhas de segurança em sistemas amplamente utilizados, reduzindo o tempo e o custo necessários para lançar ciberataques para o preço de uma chave de API. O modelo demonstrou a capacidade de encontrar milhares de vulnerabilidades de elevada gravidade em sistemas operativos e navegadores web.

Com que rapidez consegue o Mythos gerar exploits em comparação com métodos tradicionais?

O Mythos consegue construir exploits em horas, enquanto testadores de intrusão especialistas disseram que o mesmo trabalho teria levado semanas usando métodos tradicionais. Esta aceleração altera fundamentalmente a economia da cibersegurança e a urgência de corrigir vulnerabilidades.

O que estão os reguladores a fazer para lidar com riscos cibernéticos impulsionados por IA?

A ASIC aconselhou as empresas financeiras a reforçarem as defesas cibernéticas e a centrarem-se em medidas básicas de resiliência cibernética antes de as ameaças se tornarem mais claras. A Autoridade de Regulação Prudencial da Austrália emitiu um aviso semelhante sobre práticas de segurança que ficam atrás do desenvolvimento da IA. O Project Glasswing, que envolve grandes empresas de tecnologia e cloud, trabalha para proteger software amplamente utilizado antes de ferramentas semelhantes de geração de exploits se tornarem generalizadas.