OpenAI libera GPT-5.5-Cyber na UE — Anthropic segura Mythos

OpenAI abre caminho regulatório enquanto Anthropic limita acesso ao Mythos

A OpenAI anunciou em 11 de maio que vai liberar o GPT-5.5-Cyber em preview para equipes de cibersegurança credenciadas dentro da União Europeia — um mês depois de a Anthropic ter apresentado o Claude Mythos sob o programa Project Glasswing, que segue restrito a um grupo seleto de parceiros. A diferença de postura entre as duas empresas, no mesmo ano em que Bruxelas afina o AI Act, marca um divisor de águas em como os frontier labs negociam acesso a modelos especializados em segurança ofensiva e defensiva.

Por que a UE virou prioridade

O movimento da OpenAI responde à pressão direta de reguladores europeus que, depois do prazo de 2 de agosto do AI Act, passaram a exigir avaliação prévia de modelos com capacidade de descoberta de vulnerabilidades. Sem acesso supervisionado a um modelo como o GPT-5.5-Cyber, agências nacionais de cibersegurança ficariam dependentes de relatórios indiretos da fornecedora — algo que governos da UE consideram inaceitável diante de incidentes recentes com ransomware patrocinado por Estados.

A Anthropic, por outro lado, mantém o Mythos sob acesso restrito alegando que a janela atual de capacidades exige um número menor de testadores externos. A empresa sinalizou que pode expandir o programa antes do fim do ano, mas só depois de concluir auditorias internas de misuse.

O que o GPT-5.5-Cyber faz

O modelo é uma variação especializada do GPT-5.5 ajustada para fluxos de trabalho específicos de equipes vermelhas e azuis. Entre as capacidades demonstradas pela OpenAI: análise rápida de binários, geração de PoCs para CVEs, triagem de alertas de SIEM em escala e síntese de relatórios de incidentes em linguagem regulatória. O modelo opera com comportamentos de acesso especializado que não estão liberados na versão pública do GPT-5.5.

Project Glasswing e a aposta da Anthropic

O Claude Mythos foi descrito pela Anthropic como capaz de encontrar fragilidades em software com taxa de descoberta significativamente acima do baseline humano em testes internos. O Project Glasswing envia o modelo para um conjunto pequeno de empresas — incluindo grandes provedores de nuvem e empresas de segurança nacional dos EUA — sob contratos com cláusulas estritas de auditoria. A diferença em relação à OpenAI: a Anthropic está apostando que controle de acesso vale mais do que escala de adoção nesta fase.

O CAISI entra na conta

Na semana anterior, o governo Trump anunciou que o CAISI (Center for AI Standards and Innovation) vai testar modelos de Google, Microsoft e xAI antes de qualquer lançamento crítico, ampliando o programa que já cobria OpenAI e Anthropic. A combinação UE + EUA cria, pela primeira vez, dois polos regulatórios capazes de aprovar ou vetar acesso a um modelo de IA antes de ele chegar ao mercado.

O que isso significa para o Brasil

Empresas brasileiras de cibersegurança não estão na lista preferencial nem da OpenAI nem da Anthropic — e dificilmente entrarão antes de o PL 2338 ser regulamentado com mecanismos claros de avaliação. Enquanto isso, equipes de SOC no Brasil seguem dependentes de modelos genéricos ou de parceiros internacionais que repassam outputs já filtrados.

A consequência prática é simples: bancos, telcos e operadores de infraestrutura crítica no país terão acesso defasado a capacidades ofensivas que adversários estrangeiros já estarão treinando para usar contra alvos brasileiros. Os times de segurança que aguardam uma “versão BR” do GPT-5.5-Cyber chegar em condições normais de mercado podem estar esperando um ano ou mais.

O segundo efeito é regulatório. Sem um equivalente brasileiro ao CAISI ou ao escritório de IA da UE, não há instituição local com legitimidade para avaliar previamente um modelo desse porte. Isso joga toda a responsabilidade para o setor privado — em particular para CTOs e CISOs que precisarão decidir, sem rede de proteção institucional, quais capacidades adotar e quais bloquear.

O terceiro ponto: a corrida entre OpenAI e Anthropic neste vertical específico está se tornando o melhor termômetro de como os labs vão tratar segurança crítica como produto. Não como pesquisa acadêmica. E quem comprar primeiro vai pagar caro — mas vai descobrir, antes dos concorrentes, onde estão as falhas do próprio stack.

Thinq for Enterprise

Ver também

Inteligência Artificial

AlphaEvolve: o agente do Google DeepMind que escreve seus próprios algoritmos economizou milhões — e abre uma nova fronteira para a ciência

Natsuo Oki ↗

Head de IA · Thinq.news

Quero ser direto: se você é CISO ou CTO de uma empresa brasileira com qualquer exposição a infraestrutura crítica, comece a tratar IA ofensiva como linha orçamentária no plano de 2027 — não no de 2030. O GPT-5.5-Cyber e o Mythos não são curiosidades de laboratório; eles vão acelerar tanto descoberta quanto exploração de vulnerabilidades em uma proporção que seu time atual não vai conseguir compensar com ferramental tradicional. A pergunta para o C-level não é mais “vamos adotar IA em segurança?”, e sim “vamos comprar acesso supervisionado ou vamos treinar internamente sobre modelos abertos?”. A segunda opção parece mais barata, mas sai cara: sem o pipeline de avaliação que OpenAI e Anthropic estão construindo com CAISI e UE, você assume o ônus de provar segurança regulatória sozinho. Minha sugestão concreta: nas próximas oito semanas, peça à sua equipe um inventário do que adversários poderiam fazer com um modelo desses contra a sua superfície de ataque atual — e use esse documento como base para a próxima revisão de seguro cibernético. Quem chegar nessa conversa com dados sai com prêmios menores.

11 de maio de 2026 · thinq.news