A Anthropic publicou essa semana uma atualização do Project Glasswing reportando que Claude Mythos — seu LLM autônomo de descoberta de vulnerabilidades introduzido em abril 2026 — identificou 10.000+ falhas em 1.000+ projetos open-source em aproximadamente dois meses. Os números completos: 23.019 issues totais, 6.202 classificados como high ou critical severity, 1.752 validados até a data com uma taxa true-positive confirmada excedendo 90%. Os parceiros de co-scanning incluem Cloudflare, Mozilla e outros. A disclosure segue um embargo de 90 dias coordenado com mantenedores — os findings do wolfSSL, por exemplo, estão patched mas os detalhes permanecem withheld. Pra builders shipando qualquer coisa em cima de dependências OSS, o takeaway é concreto: uma porção não-trivial da supply chain acabou de ser mass-auditada, e os próximos 90 dias revelarão o patch trail.
O framing arquitetural é deliberadamente fino no release. A Anthropic não divulga se Mythos é um modelo standalone, um harness de agente, ou uma composição específica do Glasswing — apenas que ele escaneia, valida e produz exploits autonomamente. A taxa true-positive 90%+ em 1.752 issues validados é o número headline pra focar; essa é a taxa acima da qual uma ferramenta para de gerar busywork e começa a gerar filas de remediação reais. Compare com o que a Microsoft shipou no início dessa semana — MDASH, um pipeline de 100+ agentes especializados (scan/debate/validate/dedupe/exploit) pontuando 88.45% no CyberGym em 1.507 vulns reais — e você tem dois dos maiores labs AI dos EUA aterrissando releases de autonomous-vulnerability-research dentro de sete dias um do outro. A categoria agent-driven vuln research é real e agora compete em público, ambos tested-internally em escala muito grande (Microsoft em Windows/Hyper-V/Azure, Anthropic em 1.000+ projetos OSS).
O framing de acesso e safety é a parte que builders precisam ler com cuidado. O acesso ao Mythos hoje é partner-gated através do Project Glasswing (AWS, Apple, Google, Microsoft, etc.) mais um beta público do "Claude Security" pra clientes enterprise. A Anthropic declara explicitamente "no company has developed safeguards strong enough to prevent such models from being misused" e mantém os "Mythos-class models" retidos aguardando salvaguardas mais fortes. Essa é uma admissão incomumente direta. A leitura honesta é que o mesmo modelo que acha 10K vulns também pode ser usado pra escrever exploits na mesma taxa — o partner-gating é a camada de fricção até o alinhamento melhorar. Pra pesquisadores de segurança independentes e builders de loja pequena, isso significa esperar; pra times de segurança enterprise já no Glasswing ou Claude Security, a capacidade está aqui agora.
Segunda de manhã: se você mantém um projeto open-source de qualquer tamanho, espere tráfego de email de coordinated-disclosure durante os próximos 90 dias dos findings descobertos pelo Mythos — Cloudflare e Mozilla já estão no loop. Se você shipa um produto downstream de dependências OSS, construa a suposição na tua cadência de patches: o mass-audit da supply chain tá acontecendo agora, e a longa cauda de patches vai aterrissar continuamente pelo resto do Q2. Se você tá avaliando tooling autonomous-vuln-research pra tua própria pipeline, Mythos (gated) e MDASH (private preview) são os dois pontos de referência publicados essa semana — o padrão arquitetural (pipelines autônomos scan-validate-exploit) é reproduzível dos detalhes públicos mesmo sem acesso a nenhuma das plataformas. A pergunta honesta não-abordada: como os 23.019 issues se quebram por categoria (memory safety, injection, auth bypass, logic bugs), já que o release público só divulga o severity tier. Dados em nível de classe permitiriam que builders priorizassem o próprio scanning.