A Comissão Europeia confirmou a 4 de maio que entrou em contacto com a Anthropic, para uma apresentação técnica e uma avaliação dos possíveis impactos da política e da legislação da UE relativamente ao seu modelo de IA de cibersegurança de nível militar, o Mythos. Numa notícia da Reuters, o vice-presidente executivo da UE para os Assuntos Económicos, Valdis Dombrovskis, disse aos jornalistas que representantes da Comissão se reuniram com a Anthropic, ouviram os pormenores técnicos do Mythos em “capacidades de ciberataque” e “riscos de pré-visualização de investigação” e, neste momento, estão a “avaliar os possíveis impactos no contexto das políticas e da legislação da União Europeia”. Dombrovskis revelou também que o Mythos, até agora, não foi disponibilizado para qualquer banco europeu.
O que é o Mythos: um modelo de IA que identifica automaticamente vulnerabilidades zero-day
O Mythos é o modelo de topo concebido pela Anthropic para investigação de cibersegurança, capaz de encontrar e explorar autonomamente vulnerabilidades zero-day (zero-day) nos principais sistemas operativos e navegadores. Atualmente, em formato de research preview, só é disponibilizado a cerca de 40 empresas americanas e unidades de segurança nacional devidamente validadas, incluindo organizações de informações como a National Security Agency (NSA) — esta lista limitada tem sido o tema central de várias reportagens da abmedia no passado.
Para o setor bancário, as capacidades do Mythos são uma faca de dois gumes: (1) se for usado por quem se defende, pode acelerar significativamente a deteção de vulnerabilidades e reforçar a cibersegurança; (2) se cair nas mãos de atacantes, pode acelerar em pouco tempo ataques aos sistemas centrais dos bancos. O desenho de “acesso por escalões” da Anthropic procura garantir que o Mythos só seja entregue a quem se defende, mas os pormenores de execução e os mecanismos de validação continuam a gerar controvérsia.
Porque é que a UE se envolve: a ansiedade dos bancos face a uma IA de cibersegurança “exclusiva dos EUA”
O gatilho desta abordagem da Comissão Europeia foi um pedido conjunto dos ministros das Finanças da zona euro, na reunião de Bruxelas, para que o Mythos tivesse acesso. Segundo a Bloomberg, os ministros das Finanças da zona euro salientaram que o Mythos consegue encontrar e explorar automaticamente vulnerabilidades zero-day nos principais sistemas operativos e navegadores; atualmente, esta capacidade está limitada ao programa “Project Glasswing”, liderado por empresas tecnológicas dos EUA e pela NSA, e nem os governos nem os bancos europeus têm acesso.
A principal preocupação dos ministros das Finanças da zona euro é a diferença assimétrica em cibersegurança:
Os bancos dos EUA podem, no âmbito do Project Glasswing, usar o Mythos para testes defensivos nos seus próprios sistemas
Os bancos europeus não têm recursos equivalentes e a capacidade defensiva pode ficar para trás
Se capacidades semelhantes forem parar a atacantes fora dos EUA, a infraestrutura financeira europeia será a primeira a sofrer
Este pedido coloca a Anthropic numa agenda de regulação ao nível da UE — não apenas “uma opção comercial da Anthropic”, mas um tema de geopolítica sobre a distribuição de capacidades transatlânticas de cibersegurança.
Caixa de ferramentas da UE: Lei da IA, regras de subsídios estrangeiros e exigências de segurança de dados
Dombrovskis afirmou que, ao “avaliar o contexto das políticas e da legislação da UE”, o conjunto de ferramentas disponível inclui:
Lei da IA (AI Act) — se o Mythos for definido como um sistema de IA de “alto risco”, a Anthropic, para prestar serviços na UE, tem de cumprir requisitos como transparência, gestão de riscos e supervisão humana
Regulamento de Subsídios Estrangeiros (Foreign Subsidies Regulation) — se o Mythos tiver uma ligação substancial a um programa do governo dos EUA (Project Glasswing), pode despoletar uma análise
Diretiva de proteção das infraestruturas críticas (NIS2, DORA) — requisitos de cibersegurança para bancos e entidades financeiras europeias, que podem, por sua vez, exigir que a Anthropic forneça “acesso equivalente” aos pares europeus
Na prática, o mais provável é que a UE não avance com uma proibição direta, mas com uma “entrada condicionada” — exigindo que a Anthropic, caso queira disponibilizar serviços comerciais de Claude na UE, abra o acesso equivalente ao Mythos para bancos europeus, ou forneça resultados de testes autorizados.
O que observar a seguir: resposta da Anthropic, políticas específicas da UE, e transparência do Project Glasswing
Os principais pontos de observação na próxima fase:
Se a Anthropic vai responder publicamente ao contacto da UE, em especial a posição pessoal de Dario Amodei — uma reportagem da abmedia (19/4) indicou que Amodei foi negociar com a Casa Branca sobre o tema Mythos; se desta vez também intervier pessoalmente ao nível da UE, será um sinal de elevada relevância atribuída pela Anthropic
Políticas específicas que a Comissão Europeia poderá adotar — se vai apresentar, antes do 3.º trimestre, exigências de entrada condicionada para o Mythos
Transparência do Project Glasswing — se o governo dos EUA vai divulgar o âmbito do plano, as empresas envolvidas e se existe possibilidade de colaboração com a Europa
Alinhamento de outros modelos de IA de nível cibersegurança — se o GPT-5.5-Cyber, lançado pela OpenAI a 30/4, será colocado na mesma linha de análise pela UE
Para a indústria financeira e de cibersegurança em Taiwan, o ponto central desta análise é o modelo de “capacidade assimétrica de cibersegurança com IA” — o acesso de instituições financeiras de Taiwan a modelos de IA de nível cibersegurança dos EUA está, atualmente, igualmente limitado por controlos de segurança nacional dos EUA. Se a UE conseguir assegurar acesso equivalente, será Taiwan capaz de apresentar exigências semelhantes sob uma lógica parecida — e esse será um dos temas importantes nos próximos meses.
Este artigo sobre o contacto da Comissão Europeia com a Anthropic Mythos: Dombrovskis confirma a intervenção da UE em modelo de IA confidencial surge primeiro em 鏈新聞 ABMedia.
