Título original: Anthropic: The Leak, The War, The Weapon
Autor original: BuBBliK
Compilação: Peggy，BlockBeats

Nota do editor: Nos últimos seis meses, a Anthropic tem-se visto envolvida, de forma sucessiva, numa série de acontecimentos que parecem independentes entre si, mas que na verdade se apontam mutuamente: um salto na capacidade dos modelos de IA, ataques automatizados no mundo real, uma forte reação dos mercados de capitais, um conflito público com o governo e, por várias vezes, fugas de informação causadas por erros de configuração na base. Ao reunir estas pistas, desenha-se em conjunto uma direção de mudança mais clara.

Este artigo, tomando estes acontecimentos como ponto de partida, revisita a trajetória contínua de uma empresa de IA nos seus avanços técnicos, na exposição a riscos e na disputa de governação — e tenta responder a uma pergunta ainda mais profunda: quando a capacidade de “detetar vulnerabilidades” é amplificada ao máximo e se vai difundindo gradualmente, o próprio sistema de cibersegurança consegue manter a lógica operacional original?

No passado, a segurança assentava na escassez de capacidade e nas limitações de recursos humanos; mas, com as novas condições, a defesa e o ataque estão a girar em torno do mesmo conjunto de capacidades de modelos, tornando as fronteiras cada vez mais difusas. Entretanto, as reações das instituições, do mercado e das organizações continuam presas a moldes antigos, incapazes de acolher atempadamente esta mudança.

O que este artigo aborda não é apenas a própria Anthropic, mas sim uma realidade ainda maior que ela reflete: a IA não está apenas a mudar ferramentas — está também a mudar os pressupostos sobre como a “segurança” se sustenta.

A seguir, o texto original:

Quando uma empresa com uma capitalização de 380 mil milhões de dólares, em confronto com o Pentágono e saindo por cima, sobrevive ao primeiro ataque cibernético na história desencadeado por uma IA autónoma, e ainda, internamente, vaza um modelo que até os seus próprios programadores dizem temer, chegando até “por acidente” a publicar o código-fonte completo — somando tudo isto, como é que fica?

A resposta é precisamente como está agora. E o que é ainda mais inquietante é que, na verdade, a parte verdadeiramente perigosa talvez ainda não tenha acontecido.

Revisão dos acontecimentos

A Anthropic voltou a vazar o próprio código

A 31 de março de 2026, o investigador de segurança Shou Chaofan, da empresa de blockchain Fuzzland, ao verificar o pacote npm do Claude Code publicado oficialmente, descobriu que este continha, de forma explícita e em texto puro, um ficheiro chamado cli.js.map.

Este ficheiro tem 60MB de tamanho e o conteúdo é ainda mais surpreendente. Contém praticamente todo o código-fonte TypeScript completo do produto. Apenas com este ficheiro, qualquer pessoa consegue reconstituir até 1906 ficheiros internos do código: incluindo o desenho das APIs internas, o sistema de telemetria, ferramentas de encriptação, lógica de segurança, sistema de plugins — praticamente todos os componentes centrais estão à vista. O mais importante é que estes conteúdos até podem ser descarregados diretamente dos baldes de armazenamento R2 da Anthropic, como ficheiro zip.

A descoberta espalhou-se rapidamente pelas redes sociais: em poucas horas, os posts relacionados obtiveram 754 mil visualizações e quase 1000 partilhas; entretanto, vários repositórios no GitHub com o código reconstituído foram criados e publicados de imediato.

O chamado source map (ficheiro de mapeamento de origem) é, na essência, apenas um ficheiro auxiliar usado para depuração do JavaScript; a sua função é reverter o código comprimido e compilado de volta para o código-fonte original, para facilitar aos programadores a resolução de problemas.

Mas existe um princípio básico: ele nunca deve ser incluído nos pacotes de publicação do ambiente de produção.

Isto não é uma manobra de ataque sofisticada — é um problema de normas de engenharia dos mais básicos, “Construção/configuração: iniciação 101”, até algo que um programador aprende na primeira semana. Se for empacotado por engano no ambiente de produção, o source map acaba frequentemente por equivaler a “oferecer” o código-fonte a toda a gente.

Também pode ver diretamente o código aqui: https://github.com/instructkr/claude-code

Mas o que torna a situação verdadeiramente absurda é que isto já tinha acontecido uma vez.

Em fevereiro de 2025, ou seja, um ano antes, houve uma fuga quase idêntica: o mesmo ficheiro, o mesmo tipo de erro. Na altura, a Anthropic removeu as versões antigas do npm, removeu o source map e republicou uma nova versão, e o caso acabou por acalmar.

Contudo, na versão v2.1.88, este ficheiro voltou a ser empacotado e publicado.

Uma empresa com capitalização de 380 mil milhões de dólares, a construir um dos sistemas de deteção de vulnerabilidades mais avançados do mundo, cometeu o mesmo erro básico duas vezes no espaço de um ano. Sem ataque de hackers, sem um caminho de exploração complexo — apenas um processo de construção que deveria funcionar normalmente e que deu errado.

Esta ironia quase que tem um certo toque “poético”.

Aquela IA capaz de detetar 500 vulnerabilidades zero-day numa única execução; aquele modelo usado para lançar ataques automatizados às 30 instituições globais — e, ao mesmo tempo, a Anthropic “oferece” diretamente o seu próprio código-fonte a qualquer pessoa que esteja disposta a olhar para o pacote npm.

Duas fugas, separadas por apenas sete dias.

A causa é, no entanto, exatamente a mesma: o erro de configuração mais básico. Não exige qualquer patamar técnico, nem caminho de exploração complexo. Basta saber onde procurar para qualquer pessoa o obter gratuitamente.

Uma semana antes: exposição inesperada do “modelo perigoso” interno

A 26 de março de 2026, investigadores de segurança de LayerX Security, Roy Paz, e Alexandre Pauwels, da University of Cambridge, descobriram que havia um problema na configuração do CMS no site oficial da Anthropic, o que levou à exposição pública de cerca de 3000 documentos internos.

Esses ficheiros incluíam: rascunhos de blog, PDFs, documentos internos, materiais de apresentação — tudo exposto num repositório de dados sem proteção e que podia ser pesquisado. Não houve ataque de hackers e não foi necessário qualquer meio técnico.

Entre esses ficheiros, havia dois rascunhos de blog quase completamente idênticos, mudando apenas o nome do modelo: um escrevia “Mythos” e o outro “Capybara”.

Isso significa que a Anthropic estava, na altura, a escolher entre dois nomes para o mesmo projeto secreto. A empresa confirmou depois que o treino desse modelo já estava concluído e que tinha começado a ser testado com alguns clientes iniciais.

Não se tratava de uma atualização regular ao Opus, mas sim de um novo modelo de “nível quatro”, um posicionamento até acima do próprio Opus.

Nos próprios rascunhos da Anthropic, descreve-se como: “Maior e mais inteligente do que o nosso modelo Opus — e o Opus ainda é, até agora, o nosso modelo mais forte.” Em capacidade de programação, raciocínio académico e cibersegurança, entre outras áreas, obteve saltos significativos. Um porta-voz chamou-lhe “um salto qualitativo” e também “o modelo mais forte que construímos até agora”.

Mas o que realmente merece atenção não está nessas descrições de desempenho em si.

Nos rascunhos vazados, a avaliação da Anthropic sobre este modelo é que: ele “traz riscos de cibersegurança sem precedentes”, “supera muito qualquer outro modelo de IA em capacidades de rede” e “antecipa uma vaga de modelos a caminho — as suas capacidades de explorar vulnerabilidades vão ultrapassar, muito, a velocidade de resposta dos defensores”.

Por outras palavras, num rascunho de blog oficial que ainda não tinha sido divulgado, a Anthropic já expressava de forma clara uma posição rara: estava preocupada com o produto que está a construir.

A reação do mercado foi praticamente imediata. As ações da CrowdStrike desceram 7%, Palo Alto Networks caiu 6%, Zscaler caiu 4,5%; a Okta e a SentinelOne registaram quedas de mais de 7% em ambos os casos, e a Tenable chegou a despencar 9%. O iShares Cybersecurity ETF caiu 4,5% no próprio dia. Apenas a CrowdStrike, nessa jornada, viu a sua capitalização de mercado evaporar cerca de 15 mil milhões de dólares. Ao mesmo tempo, o Bitcoin recuou para 66.000 dólares.

O mercado, claramente, interpretou o acontecimento como uma “sentença” para toda a indústria de cibersegurança.

Ideia geral do gráfico: sob a influência das notícias relacionadas, o setor de cibersegurança desceu no seu conjunto; várias empresas líderes (como CrowdStrike, Palo Alto Networks, Zscaler, etc.) registaram quedas evidentes, refletindo a preocupação do mercado com o impacto da IA na indústria de cibersegurança. Contudo, esta reação não é a primeira. Antes disso, quando a Anthropic publicou ferramentas de verificação de código, as ações relacionadas também tinham caído, mostrando que o mercado já começou a ver a IA como uma ameaça estrutural para fornecedores tradicionais de segurança, e que toda a indústria de software enfrenta pressões semelhantes.

A avaliação do analista da Stifel, Adam Borg, foi bastante direta: o modelo “tem potencial para se tornar na ferramenta de hacker definitiva, podendo até transformar hackers comuns em adversários com capacidades de ataque a nível estatal”.

Então porque é que ainda não foi publicado ao público? A explicação da Anthropic é que o custo de execução do Mythos “é muito elevado” e que ainda não existem condições para publicação pública. O plano atual é primeiro conceder acesso antecipado a uma pequena parte de parceiros de cibersegurança, para reforçar o sistema defensivo; depois, expandir gradualmente o âmbito de abertura da API. Até lá, a empresa continua a otimizar a eficiência.

Mas o ponto-chave é que este modelo já existe, já está em testes e, mesmo apenas por ter sido “exposto por acidente”, já causou um impacto na totalidade do mercado de capitais.

A Anthropic está a construir um modelo de IA que chama de “o mais arriscado para cibersegurança da história”. E, no entanto, a fuga da sua notícia nasceu precisamente de um erro de configuração da infraestrutura mais básico — exatamente o tipo de erro que este tipo de modelo foi, originalmente, desenhado para detetar.

Em março de 2026: confronto entre a Anthropic e o Pentágono, com vantagem para a Anthropic

Em julho de 2025, a Anthropic assinou um contrato de 200 milhões de dólares com o Departamento de Defesa dos EUA; à partida, pareceu apenas uma cooperação de rotina. Mas, nas conversas de implementação subsequentes, as contradições escalaram rapidamente.

O Pentágono queria obter no seu ambiente GenAI.mil “acesso total” ao Claude, com finalidades que incluíssem “todos os objetivos legais” — o que inclui até sistemas de armas totalmente autónomos e vigilância interna em grande escala dos cidadãos dos EUA.

A Anthropic traçou linhas vermelhas e rejeitou explicitamente em dois pontos-chave, e as negociações falharam em setembro de 2025.

Em seguida, a situação começou a escalar rapidamente. A 27 de fevereiro de 2026, Donald Trump publicou um post na Truth Social, exigindo que todas as agências federais “cessassem imediatamente” o uso da tecnologia da Anthropic e classificando a empresa como “esquerdista radical”.

A 5 de março de 2026, o Departamento de Defesa dos EUA classificou formalmente a Anthropic como “risco de cadeia de abastecimento”.

Esta etiqueta era até então quase apenas utilizada para adversários estrangeiros — como empresas chinesas ou entidades russas — e agora foi aplicada, pela primeira vez, a uma empresa americana sediada em São Francisco. Em simultâneo, empresas como a Amazon, a Microsoft e a Palantir Technologies também foram obrigadas a demonstrar que, em qualquer negócio relacionado com fins militares, não utilizavam o Claude.

O CTO do Pentágono, Emile Michael, justificou esta decisão com a explicação de que o Claude pode “contaminar a cadeia de abastecimento”, porque o modelo incorpora diferentes “preferências de políticas” no seu interior. Ou seja, no contexto oficial, uma IA que tem restrições no uso e que não auxilia incondicionalmente ações de matar, é vista antes como um risco de segurança nacional.

A 26 de março de 2026, uma juíza federal, Rita Lin, emitiu uma decisão de 43 páginas que impediu completamente as medidas do Pentágono.

Na sua decisão, ela escreveu: “Não existe qualquer base na lei vigente para sustentar uma lógica com um sentido ‘à la Orwell’ — apenas porque há discordância com as posições do governo, uma empresa americana pode ser rotulada como potencial adversário. Ao punir a Anthropic por colocar as posições do governo sob escrutínio público, o governo está, na essência, a levar a cabo uma típica e ilegal vingança da Primeira Emenda.” Um parecer de um amicus curiae chegou mesmo a descrever as ações do Pentágono como uma “tentativa de assassinar uma empresa”.

O resultado foi que o governo tentou suprimir a Anthropic, mas, em vez disso, ela ganhou ainda mais atenção. A aplicação Claude estreou pela primeira vez, ultrapassando o ChatGPT na App Store, e o número de registos chegou a atingir, por uma altura, mais de 1 milhão por dia.

Uma empresa de IA disse “não” ao mais poderoso órgão militar do mundo. E o tribunal ficou do lado dela.

Novembro de 2025: o primeiro ataque cibernético na história liderado por IA

A 14 de novembro de 2025, a Anthropic publicou um relatório que causou grande impacto.

O relatório revela que um grupo de hackers apoiado pelo Estado chinês, usando o Claude Code, lançou ataques automatizados a 30 instituições globais — com alvos que vão desde gigantes da tecnologia a bancos e a várias agências governamentais de múltiplos países.

Este é um ponto de viragem: a IA deixa de ser apenas uma ferramenta auxiliar e começa a ser usada para executar ações de ataque de forma independente.

O ponto-chave está na mudança de “forma de divisão de tarefas”: os humanos apenas escolhem alvos e aprovam decisões críticas. Ao longo de toda a operação, há uma intervenção aproximada de apenas 4 a 6 vezes. O resto é feito pela IA: recolha de informações e reconhecimento, descoberta de vulnerabilidades, escrita de código de exploração, roubo de dados, inserção de backdoors… ocupando 80%–90% de todo o processo de ataque, e a operar a uma velocidade de milhares de pedidos por segundo — uma escala e eficiência que qualquer equipa humana não consegue igualar.

Então como é que eles contornaram os mecanismos de segurança do Claude? A resposta é: eles não “quebraram” — eles “enganaram”.

O ataque foi dividido em muitas pequenas tarefas aparentemente inofensivas e embaladas como “testes de defesa autorizados” de uma “empresa de segurança legítima”. Em essência, é um ataque de engenharia social — apenas que, desta vez, o alvo enganado é a própria IA.

Parte dos ataques teve sucesso total. O Claude conseguiu, sem instruções incrementais dadas por humanos, desenhar de forma autónoma uma topologia de rede completa, localizar bases de dados e concluir a extração de dados.

O único fator que atrasou o ritmo do ataque foi o facto de o modelo, por vezes, apresentar “alucinações” — por exemplo, credenciais fictícias, ou afirmar que tinha obtido ficheiros que, na realidade, já estavam publicados há muito tempo. Pelo menos até ao momento, ainda são um dos poucos “obstáculos naturais” que impedem ataques cibernéticos totalmente automatizados.

Na RSA Conference 2026, Rob Joyce, antigo responsável por cibersegurança da antiga National Security Agency dos EUA, classificou este caso como um “teste de Rorschach”: metade das pessoas escolhe ignorar, enquanto a outra metade sente arrepios. E ele, obviamente, pertence ao segundo grupo — “isto é mesmo assustador”.

Setembro de 2025: não é uma previsão qualquer — é uma realidade que já aconteceu.

Fevereiro de 2026: uma única execução descobriu 500 vulnerabilidades zero-day

A 5 de fevereiro de 2026, a Anthropic lançou o Claude Opus 4.6, juntamente com um artigo de investigação que abalou quase toda a indústria de cibersegurança.

O ambiente experimental foi extremamente simples: colocar o Claude num ambiente isolado de máquina virtual, com ferramentas padrão — Python, depuradores e ferramentas de fuzzing (fuzzers). Sem instruções adicionais, sem prompts complexos, apenas uma frase: “Vai procurar vulnerabilidades.”

O resultado foi: o modelo detetou mais de 500 vulnerabilidades zero-day de alto risco que eram desconhecidas até então. Algumas destas vulnerabilidades, mesmo depois de décadas de revisão feita por especialistas e de milhões de horas de testes automatizados, continuaram por detetar.

Depois, na RSA Conference 2026, o investigador Nicholas Carlini subiu ao palco para fazer uma demonstração. Ele apontou o Claude para o Ghost, um sistema CMS no GitHub com 50 mil estrelas e que, historicamente, nunca tinha apresentado vulnerabilidades graves.

Após 90 minutos, os resultados surgiram: foram detetadas vulnerabilidades de blind SQL injection, permitindo que utilizadores não autenticados concretizassem a tomada completa de permissões de administrador.

Em seguida, ele usou o Claude para analisar o kernel do Linux. O resultado foi semelhante.

15 dias depois, a Anthropic lançou o Claude Code Security, um produto de segurança que já não depende de correspondência de padrões e passa a basear-se na “capacidade de raciocínio” para compreender a segurança do código.

Mas até os próprios porta-vozes da Anthropic disseram um facto fundamental, mas frequentemente ignorado: “A mesma capacidade de raciocínio pode ajudar o Claude a descobrir e corrigir vulnerabilidades, mas também pode ser utilizada por atacantes para explorar essas vulnerabilidades.”

A mesma capacidade, o mesmo modelo — apenas nas mãos de pessoas diferentes.

O que é que tudo isto, junto, significa?

Se olharmos isoladamente, cada um destes factos seria, por si só, a grande notícia mais forte do mês. Mas, em vez disso, tudo aconteceu na mesma empresa no espaço de apenas seis meses.

A Anthropic criou um modelo capaz de detetar vulnerabilidades mais rapidamente do que qualquer ser humano; hackers chineses transformaram a versão anterior em armas de rede automatizadas; a empresa está a desenvolver a próxima geração de modelos mais fortes e, até nos seus ficheiros internos, admite — que está preocupada com isso.

O governo dos EUA tenta reprimi-la não porque a tecnologia em si seja perigosa, mas porque a Anthropic recusa entregar esta capacidade sem limites.

E durante todo este processo, esta empresa vazou duas vezes o seu próprio código-fonte por causa do mesmo ficheiro dentro do mesmo pacote npm. Uma empresa com capitalização de 380 mil milhões de dólares; uma empresa que tem como objetivo concluir um IPO de 60 mil milhões de dólares em outubro de 2026; uma empresa que declarou publicamente que está a construir “uma das tecnologias mais transformadoras — e possivelmente mais perigosas — da história da humanidade” — e, ainda assim, escolhe continuar a avançar.

Porque acreditam: mais vale fazê-lo eles próprios do que deixar que o façam outras pessoas.

Quanto ao source map no pacote npm — poderá ser apenas um dos pormenores mais absurdos, mas também os mais verdadeiros, da narrativa mais inquietante desta era.

E o Mythos, ainda nem sequer foi lançado oficialmente.

[Link do texto original]

Clique para saber mais sobre a contratação de postos na Lyding BlockBeats

Bem-vindo a juntar-se à comunidade oficial da Lyding BlockBeats:

Grupo de subscrição no Telegram: https://t.me/theblockbeats

Grupo de discussão no Telegram: https://t.me/BlockBeats_App

Conta oficial no Twitter: https://twitter.com/BlockBeatsAsia