Na semana passada, a empresa de IA Anthropic reconheceu um incidente de segurança no qual um rascunho de postagem de blog foi vazado para Fortuna.
A publicação no blog observou que seu novo projeto, “Claude Mythos”, e o novo modelo, Capybara, representam uma “mudança radical” nos assistentes de IA. O blog destacou um “modelo de uso geral com avanços significativos em raciocínio, codificação e segurança cibernética”.”
O blog Anthropic também alertou que: “Ao nos prepararmos para lançar o Claude Capybara, queremos agir com cautela extra e entender os riscos que ele representa - mesmo além do que aprendemos em nossos próprios testes... Em particular, queremos entender os riscos potenciais de curto prazo do modelo no campo da segurança cibernética - e compartilhar os resultados para ajudar os defensores cibernéticos a se prepararem.”
O rascunho também observou que o novo modelo “pressagia uma onda futura de modelos que podem explorar vulnerabilidades de maneiras que superam em muito os esforços dos defensores”.”
Claude Mythos pode representar um grande risco para a postura de segurança cibernética das organizações. O novo modelo seguirá uma onda de riscos crescentes causados por IA, agentes e outras identidades não humanas (NHI):
- Gartner considerou a IA agêntica a principal tendência tecnológica de 2025 e previu que 33% de aplicativos corporativos incluirão IA agêntica até 2028, em comparação com menos de 1% em 2024.
- Outras pesquisas mostram que o NHI supera o número de usuários humanos em 45 para 1em ambientes DevOps.
- Uma pesquisa recente constatou que 60%das empresas expressaram falta de confiança em sua capacidade de garantir adequadamente o NHI.
Seja especificamente o Claude Mythos, o ChatGPT ou algum outro serviço agêntico, a palestra da semana passada na Conferência RSAC concentrou-se em como a IA está transformando o cenário de ameaças.
Aqui estão as práticas recomendadas que dissemos aos clientes e que podem ajudar as organizações a se prepararem para usar a IA e se defenderem contra ela.
As ameaças baseadas em IA não estão chegando - elas já estão aqui. Um artigo anterior da Anthropic postagem no blog explica que um grupo patrocinado pelo Estado usou o agente para se infiltrar em “cerca de trinta alvos globais e obteve sucesso em um pequeno número de casos” ao “fingir trabalhar para organizações legítimas de teste de segurança” para evitar as barreiras de segurança da Claude. Continuamos a ver Ataques de phishing orientados por IA com o objetivo de roubar as credenciais dos usuários.
As organizações precisam dos controles de identidade corretos para se prepararem para mais ataques - e mais eficazes. Esses controles incluem:
- Autenticação sem senhaO fato de não ter senha pode remover as credenciais que os ataques de phishing orientados por IA tentam roubar. Procure implementar sem senha em escala para cada usuário em cada ambiente.
- Proteger o processo de autenticação: A eliminação de senhas é um ótimo primeiro passo para manter as organizações protegidas contra a IA, mas é apenas o primeiro passo. Mantenha o próprio processo de autenticação seguro usando soluções que avaliar dinamicamente os sinais do usuário e exija uma autenticação mais intensa durante as tentativas de login de alto risco, ou use a verificação de proximidade para garantir que o dispositivo do usuário esteja próximo ao que ele está tentando acessar.
- Verificação de identidade bidirecional: Os deepfakes tornarão mais fácil para os invasores se passarem por usuários ou funcionários do help desk. Os agentes ajudarão os adversários a criar ataques de engenharia social mais convincentes. As organizações precisam de uma maneira simples de contabilizar as táticas e os agentes. verificar um usuário é quem eles afirmam ser para evitar o tipo de ataques que custam MGM Resorts, Caesars Entertainment Group e Marks & Spencer centenas de milhões de dólares.
- Governança e administração de identidade (IGA): Na maioria das violações, os invasores agem rapidamente para aumentar os privilégios e expandir o acesso. Ter um Programa IGA avançado ajuda a conter esse risco, garantindo que as identidades tenham acesso apenas ao que é necessário, aplicando o privilégio mínimo e apoiando uma abordagem Zero Trust.
Não basta apenas ter recursos de segurança para se defender contra a IA externa. As organizações também precisam de controles de segurança de identidade que lhes permitam usá-la com segurança. A Relatório RSA ID IQ 2026, Em uma pesquisa do setor com mais de 2.100 líderes globais de segurança cibernética, gerenciamento de identidade e acesso (IAM), conformidade e tecnologia, descobriu-se que 91% das organizações planejavam implementar alguma forma de IA em sua pilha de segurança cibernética este ano.
Para usar a IA de forma segura, as organizações devem:
- Tratar cada agente como uma identidade. As organizações precisam tratar cada agente, bot e serviço de IA como uma identidade. Elas precisam trazer para a NHI o mesmo nível de controles, permissões e supervisão que têm para os usuários humanos. Faça um inventário do que você tem primeiro e entenda seu acesso. E exija que seus agentes não tenham senha para eliminar o risco de que os funcionários codifiquem suas senhas para agir em seu nome - se você fizer isso, estará apenas liberando um bot inseguro na natureza.
- Comunique suas políticas de forma clara, em alto e bom som e com frequência. Esse não é apenas um problema de tecnologia. As organizações precisam identificar quais serviços são permitidos e quais recursos os funcionários podem fornecer a eles. A Shadow AI representa um enorme risco de perda de PII, informações financeiras e outros dados restritos.
- Construir uma IGA melhor. Para usar a IA com segurança, as organizações precisam de uma governança que acompanhe o ritmo da escala dos dados de identidade. Isso significa garantir que as identidades tenham apenas o acesso de que precisam, mantendo a visibilidade contínua do acesso e transformando dados complexos em ações claras e priorizadas. A IA ajuda os revisores a tomar decisões confiantes e fornece aos profissionais de segurança insights para identificar riscos e agir em escala, permitindo um controle contínuo e inteligente sobre o acesso.
- Soberania de dados para IA. As organizações com requisitos aprimorados de conformidade, segurança e disponibilidade devem considerar o uso de implantação soberana para garantir controle total sobre seus dados, onde eles residem e quem pode acessá-los. Procure soluções que possam oferecer suporte a recursos completos de gerenciamento de identidade e acesso (IAM) em configurações de nuvem privada, multinuvem, no local e com air-gap.
