A sua preocupação é a capacidade sem precedentes do modelo de inteligência artificial, atualmente com acesso restrito, de detetar vulnerabilidades críticas de software, o que poderia permitir ataques cibernéticos em grande escala e paralisar serviços críticos.
As empresas estão testando seus ativos públicos usando modelos de IA existentes, como Opus 4.7 e GPT 5.5, e pediram aos seus fornecedores que identificassem possíveis lacunas, disseram executivos e consultores à ET.
O Conselho de Segurança de Dados da Índia (DSCI), um grupo de reflexão da indústria subordinado ao órgão da indústria de software Nasscom, está ajudando as organizações a se prepararem para o desafio.
A DSCI lançou um ambiente sandbox que pode ser usado para avaliar modelos generativos de inteligência artificial contra vulnerabilidades de segurança e riscos de privacidade de dados.
“As organizações estão fortalecendo ativamente sua higiene cibernética para se prepararem para ameaças impulsionadas pela IA, reduzindo as superfícies de ataque, adotando a microssegmentação e melhorando os sistemas de identidade e autenticação”, disse o executivo-chefe da DSCI, Vinayak Godse, ao ET.
A Anthropic anunciou que o modelo será lançado em breve. Esperando que esteja disponível em cerca de seis meses, os especialistas dizem que os cibercriminosos podem explorar essas vulnerabilidades mais rapidamente do que as organizações conseguem corrigi-las. Apontam também para uma grave escassez de competências em cibersegurança necessárias para lidar com a ameaça em rápida evolução.
‘Governança Cooperativa’
A revelação da última atualização do Anthropic para o Mythos na semana passada alarmou os diretores de segurança da informação (CISOs) devido à velocidade sem precedentes com que o sistema pode identificar vulnerabilidades de software.
Mithos detectou 23.019 vulnerabilidades em um mês. Os profissionais de segurança cibernética humana levam em média 14 dias para corrigir cada bug, portanto, apenas 97 deles foram corrigidos.
“O cenário global de segurança cibernética está evoluindo a um ritmo sem precedentes, introduzindo riscos novos e aumentados”, disse Srikanth Velamakanni, executivo-chefe da empresa de serviços de IA Fractal Analytics e presidente da Nasscom.
“Sistemas como o Mithos demonstram que a implementação de modelos de alta capacidade sem estruturas de segurança rigorosas pode representar sérias ameaças à segurança nacional. No entanto, simplesmente tentar conter o desenvolvimento da IA não é uma solução a longo prazo; precisamos de uma governação proactiva e colaborativa”, disse ele.
Os modelos compatíveis com Mythos da DeepSeek ou OpenAI também devem chegar ao mercado dentro de três a seis meses, de acordo com os pesquisadores.
Poderia sobrecarregar as infraestruturas tradicionais de cibersegurança e expor sistemas nacionais críticos em áreas como a banca, as telecomunicações, os cuidados de saúde, as infraestruturas em nuvem e as redes de energia, alertam os especialistas.
Preparação cibernética lenta
À medida que o risco cresce rapidamente, a lacuna de talentos, especialmente em mercados como a Índia, é uma grande preocupação para as organizações no que diz respeito a garantir a preparação cibernética.
“A escala e a velocidade com que sistemas como o Mithos conseguem detectar vulnerabilidades estão a mudar fundamentalmente o cenário de ameaças para os bancos”, disse um CISO de um grande banco do sector privado. “No passado, os ciberataques precisavam de semanas ou meses para identificar pontos fracos exploráveis, mas agora os modelos de IA podem reduzir essa janela para horas”.
Ele acrescentou que a preocupação não é detectar vulnerabilidades, mas sim ampliar a lacuna entre a detecção e a remediação.
“Os bancos ainda dependem fortemente de ciclos manuais de gerenciamento de patches, dependências de infraestrutura legada e ecossistemas de fornecedores fragmentados”, disse ele. “Se as capacidades de IA de nível ofensivo se tornarem commodities nos próximos meses, o setor enfrentará uma situação em que os invasores poderão transformar vulnerabilidades em armas mais rapidamente do que as organizações podem corrigi-las”.
Outro CISO de um credor estatal disse que os bancos indianos já operam num ambiente onde existe uma escassez significativa de talentos em segurança cibernética.
“As equipes de segurança nunca foram projetadas para lidar com dezenas de milhares de alertas de risco na velocidade da máquina. O risco real é a fadiga dos alertas e a falha de prioridade, onde vulnerabilidades críticas em serviços bancários pela Internet, integrações de telecomunicações ou sistemas fintech de terceiros permanecem sem correção porque as equipes de segurança estão sobrecarregadas”, disse ele.
No entanto, encontrar vulnerabilidades de software não significa que os criminosos possam derrubar a infraestrutura digital mundial.