← Todos os Posts

Cibersegurança é prova de trabalho: ataques de IA a $12.500 por tentativa

10 min read
From the guide: Claude Code Comprehensive Guide

Cibersegurança está se tornando um problema de computação, não de habilidade. A avaliação do UK AISI mostrou que o Claude Mythos completou uma simulação de ataque a rede corporativa de 32 etapas em 3 de 10 tentativas, a $12.500 por execução. A tese de Drew Breunig: defensores precisam gastar mais que atacantes em descoberta automatizada de exploits, ou perdem por padrão.

O UK AI Security Institute publicou uma avaliação independente do Claude Mythos Preview em tarefas de cibersegurança.1 O número principal: Mythos completou uma simulação de ataque a rede corporativa de 32 etapas em 3 de 10 tentativas. Nenhum outro modelo resolveu a cadeia completa. No dia seguinte, Drew Breunig publicou o corolário econômico: cada uma dessas tentativas custou aproximadamente $12.500 em tokens.2 Juntas, essas duas análises reformulam a cibersegurança de um problema de habilidade para um problema de computação.

A implicação é desconfortável. No enquadramento de Breunig, defender um sistema agora exige gastar mais tokens descobrindo exploits do que atacantes gastarão explorando-os.2 Segurança sempre foi assimétrica: atacantes precisam de apenas um caminho, defensores precisam cobrir todos. Agentes de IA preservam essa assimetria, mas deslocam o eixo. O recurso escasso não é mais expertise. O recurso escasso é orçamento de computação.

O que o AISI realmente mediu

A avaliação usou duas abordagens de teste: desafios capture-the-flag (CTF) e simulações de cyber range.1

O cyber range que importa, “The Last Ones” (TLO), simula um ataque a rede corporativa de 32 etapas. Um humano precisaria de aproximadamente 20 horas para completá-lo.1 O Mythos completou a cadeia inteira em 3 de 10 tentativas. Em todas as 10 execuções, o Mythos completou em média 22 das 32 etapas. Para comparação, o Claude Opus 4.6 completou em média 16 etapas no mesmo range.1

Em tarefas CTF de nível especialista, o Mythos teve sucesso 73% das vezes.1

Os orçamentos de tokens contam sua própria história. O AISI testou ranges de até 2,5 milhões de tokens para CTF não-especialista, 50 milhões para CTF especialista e 100 milhões para simulações de cyber range.1 A avaliação nota explicitamente que “modelos continuam progredindo com orçamentos de tokens maiores em todos os orçamentos testados” e que o AISI espera “melhorias de desempenho continuariam além” do teto de 100 milhões de tokens testado.1

Mais tokens, mais progresso. Nenhum platô observado.

O AISI foi cuidadoso ao delimitar a descoberta. Os cyber ranges não tinham defensores ativos, ferramentas defensivas nem penalidades por disparar alertas.1 A avaliação se aplica a “sistemas empresariais fracamente defendidos e vulneráveis”, não a ambientes de produção hardened com SOCs e IDS. O Mythos também falhou no range “Cooling Tower”, que focava em tecnologia operacional.1

Essas ressalvas importam. Porém, a trajetória importa mais. Modelos anteriores não conseguiam completar a cadeia inteira nesses ranges.1 Agora um completa uma intrusão corporativa de 32 etapas em 3 de 10 tentativas, e a curva de desempenho se inclina para cima com mais computação. A questão não é se a IA consegue invadir sistemas fracamente defendidos e vulneráveis (o AISI demonstrou que consegue). A questão é quando a taxa de sucesso contra ambientes hardened cruza o limiar em que se torna economicamente racional automatizar.

A economia: $12.500 por tentativa

A análise de Breunig converte as descobertas do AISI em dólares.2 A 100 milhões de tokens por tentativa, uma única execução do Mythos no TLO custa aproximadamente $12.500. Dez tentativas no TLO custam $125.000.2

Esses números parecem grandes isoladamente. Parecem pequenos em relação ao que um comprometimento de rede corporativa de 32 etapas custa ao defensor. O modelo atinge uma taxa de sucesso de 30% por uma fração do custo, executa sob demanda, e a taxa de sucesso melhora com o orçamento. Execute a mesma cadeia de ataque 100 vezes em vez de 10 (assumindo tentativas independentes e identicamente configuradas contra um alvo estático) e o número esperado de penetrações bem-sucedidas salta de 3 para 30, a aproximadamente $1,25 milhão em tokens. Caro para um pesquisador individual. Um erro de arredondamento para um ator estatal.

A tese central de Breunig: “para blindar um sistema, você precisa gastar mais tokens descobrindo exploits do que atacantes gastarão explorando-os.”2 Segurança se torna uma corrida de orçamento de tokens. Breunig argumenta que defensores precisam gastar mais que atacantes em descoberta automatizada de exploits, ou perdem por padrão.

Ele propõe um modelo de três fases: Desenvolvimento, Revisão e Blindagem.2 Desenvolvimento constrói o sistema. Revisão captura classes de bugs conhecidas. Blindagem é a fase nova: descoberta autônoma de exploits rodando continuamente até o time esgotar o orçamento. A segurança de um sistema se torna função de quantos tokens o time queima tentando quebrá-lo antes do deploy.

“Você não ganha pontos por ser esperto”, escreve Breunig. “Você vence gastando mais.”2

A Lei de Linus ganha uma dimensão de tokens

Breunig estende a Lei de Linus — “com olhos suficientes, todos os bugs são superficiais” — para incluir tokens.2 Ciclos de revisão automatizada suficientes, com orçamento de computação suficiente, vão revelar vulnerabilidades que revisão humana deixou passar por décadas.

As evidências sustentam a extensão. Como documentado em When Your Agent Finds a Vulnerability, o trabalho de Carlini na Anthropic supostamente encontrou uma vulnerabilidade de 23 anos no kernel do Linux usando um script bash de 10 linhas e Claude Code.4 Como documentado em Project Glasswing, a Anthropic escalou essa abordagem com o Mythos para descobrir o que descrevem como milhares de zero-days em sistemas operacionais e navegadores importantes.5 A avaliação do AISI agora fornece confirmação independente da capacidade subjacente.

Simon Willison acrescenta uma observação que vale notar: revisão de segurança orientada por IA aumenta o valor de bibliotecas open-source, porque os tokens gastos protegendo-as beneficiam coletivamente todos os usuários.3 Código proprietário arca com seus próprios custos de segurança. Código open-source amortiza esses custos por toda a base de usuários.

Breunig referencia o produto de revisão de código da Anthropic a $15-20 por revisão como um ponto de dados sobre preços atuais.2 Ele também cita os incidentes de supply chain do LiteLLM e Axios no contexto de segurança de dependências, exemplos do tipo de vulnerabilidades de supply chain que reforçam a necessidade de revisão automatizada.2

A fórmula se cristaliza: “Código continua barato, a menos que precise ser seguro.”2 Cada linha de código em um sistema de produção carrega uma dívida de segurança implícita. Essa dívida antes se escondia à vista de todos, enterrada nos salários de equipes de segurança e na esperança probabilística de que a revisão manual pegaria os bugs críticos. Segurança baseada em tokens torna o custo explícito e mensurável.

O que as ressalvas realmente significam

As ressalvas do AISI merecem leitura cuidadosa, não descarte.

A ausência de defensores ativos muda o cálculo significativamente. Uma cadeia de ataque de 32 etapas contra um sistema sem monitoramento, sem alertas e sem resposta a incidentes é um problema fundamentalmente diferente da mesma cadeia contra um SOC com equipe. Redes empresariais reais têm EDR, segmentação de rede, detecção de anomalias e analistas humanos. Cada alerta que um atacante automatizado dispara é uma chance para a defesa responder.

A ausência de penalidades por ruído significa que o modelo pode tentar abordagens de força bruta que um atacante humano evitaria. Um adversário real que dispara centenas de alertas de IDS em uma hora é investigado. Os ranges do AISI não modelaram esse loop de feedback. Em uma rede real, ruído é caro para o atacante. Furtividade restringe o espaço de busca. Remova essa restrição e o problema se torna estritamente mais fácil.

A falha no Cooling Tower também é instrutiva. O Mythos resolveu o range TLO focado em TI, mas falhou no range de tecnologia operacional.1 Ambientes de OT têm protocolos diferentes, restrições diferentes e modos de falha diferentes. O AISI nota que o modelo ficou preso em porções de TI daquele range, então a falha não indica necessariamente capacidade fraca em OT, mas as capacidades do modelo claramente não são uniformes entre domínios. Penetração de rede de TI e ataques a sistemas de controle industrial são problemas diferentes, e tirar conclusões sobre prontidão em OT a partir desta avaliação requer cautela.

Contudo, as ressalvas também têm prazo de validade. Orçamentos de tokens escalam. Capacidades dos modelos melhoram entre avaliações. A taxa de sucesso de 30% contra redes sem defesa é o piso, não o teto. O próprio AISI espera que o desempenho melhore além dos orçamentos testados.1 Defensores que descartam as descobertas porque os ranges não tinham defesa ativa estão apostando que o escalonamento de inferência vai estagnar antes de alcançar suas defesas — uma aposta que os próprios dados do AISI, dentro dos ranges testados, não sustentam.

Implicações operacionais para profissionais

Para qualquer um rodando agentes de IA em produção (e eu rodo agentes autônomos durante a noite pelo Ralph Loop com 95 hooks como infraestrutura de segurança), o enquadramento de prova de trabalho muda a forma de pensar sobre defesa.

Hooks de segurança são um gasto mínimo, não suficiente. Meus 95 hooks controlam o que agentes podem fazer: bloqueando force pushes, validando credenciais, impondo sandboxes. Esses hooks impedem meus próprios agentes de causar danos. Eles não fazem nada contra um atacante externo que gasta 100 milhões de tokens sondando os sistemas com os quais esses agentes interagem. Infraestrutura de hooks é necessária, mas não suficiente.

Testes ofensivos automatizados se tornam obrigatórios. O modelo de três fases de Breunig (Desenvolvimento, Revisão, Blindagem) implica que todo pipeline de deploy precisa de uma fase adversarial onde agentes de IA tentam quebrar o sistema antes do lançamento. Não um teste de penetração de checklist. Um exercício de esgotamento de orçamento de tokens. Execute descoberta automatizada de exploits até o orçamento acabar, corrija o que surgir, repita.

O Ralph Loop agora tem um corolário de segurança. Escrevi sobre degradação iterativa de segurança no contexto de desempenho: agentes que passam em todos os testes enquanto introduzem lentidão de 446x. O mesmo padrão se aplica à segurança. Um agente que escreve código correto, funcional e bem testado ainda pode introduzir vulnerabilidades sutis que só aparecem sob revisão adversarial automatizada. A solução é a mesma: adicionar o gate que falta. Benchmarks de desempenho capturam regressões de desempenho. Red-teaming automatizado captura regressões de segurança.

Dependências open-source merecem orçamentos de tokens. A observação de Willison sobre benefício coletivo se aplica diretamente ao gerenciamento de dependências. Toda biblioteca open-source em uma stack de produção está recebendo revisão de segurança automatizada de alguém ou não está. Breunig cita os incidentes de supply chain do LiteLLM e Axios no contexto de segurança de dependências, casos onde vulnerabilidades persistiram em bibliotecas amplamente utilizadas.2 Profissionais devem avaliar suas árvores de dependências com uma nova pergunta: quem está gastando tokens na segurança desta biblioteca?

A matemática desconfortável

O enquadramento de prova de trabalho torna a economia da segurança explícita de uma forma que modelos baseados em expertise nunca conseguiram. No modelo antigo, a qualidade da segurança era função de quem você contratava e quão habilidosos eram. No novo modelo, a qualidade da segurança é função de quantos tokens você gasta tentando quebrar seus próprios sistemas.

Talento ainda importa: alguém precisa interpretar resultados, priorizar correções e tomar decisões arquiteturais. Porém, a fase de descoberta — a parte onde agentes automatizados revelam vulnerabilidades — é cada vez mais um problema de computação. E dentro dos ranges que o AISI testou, problemas de computação favorecem a entidade disposta a gastar mais.

O paralelo com prova de trabalho em criptomoedas é instrutivo, mesmo que imperfeito. Mineradores de Bitcoin queimam eletricidade para proteger a cadeia. Defensores queimam tokens para proteger o sistema. Em ambos os casos, a garantia de segurança é proporcional à computação gasta. Em ambos os casos, um atacante disposto a gastar mais computação ganha vantagem. A diferença: a dificuldade de mineração do Bitcoin se ajusta automaticamente. Orçamentos de tokens de segurança requerem julgamento humano sobre quanto é suficiente.

Para organizações bem financiadas, o caminho é claro. Adicione descoberta autônoma de exploits ao pipeline de deploy. Defina um orçamento de tokens proporcional ao perfil de risco do sistema. Esgote o orçamento. Corrija o que surgir. Faça o deploy.

Para todos os demais, o caminho é menos confortável. Se você não pode gastar mais tokens defendendo do que atacantes gastarão atacando, precisa contar com infraestrutura compartilhada: revisão de segurança open-source, escaneamento fornecido por vendors, defesa coletiva. O equivalente em segurança da imunidade de rebanho. E como a imunidade de rebanho, só funciona se participantes suficientes contribuírem. Pegar carona na revisão de segurança open-source sem contribuir tokens de volta é uma estratégia que funciona até parar de funcionar.

A avaliação do AISI mostrou que agentes de IA conseguem completar ataques a redes corporativas. Breunig argumenta que defesa é um problema de gastos. Willison identificou a única vantagem estrutural dos defensores: infraestrutura compartilhada amortiza custos entre todos que a utilizam.

A pergunta para todo profissional é a mesma que sistemas de prova de trabalho sempre fizeram: quanta computação você está disposto a queimar?

FAQ

O que significa “cibersegurança é prova de trabalho”?

A frase reformula a cibersegurança de um problema de habilidade para um problema de computação. A avaliação do UK AISI mostrou que o Claude Mythos consegue completar um ataque a rede corporativa de 32 etapas em 3 de 10 tentativas, a aproximadamente $12.500 por tentativa. Defender um sistema agora exige gastar mais tokens descobrindo exploits do que atacantes gastarão explorando-os. A qualidade da segurança se torna função de quantos tokens você queima tentando quebrar seus próprios sistemas antes do deploy.

Como o Claude Mythos se saiu em tarefas de cibersegurança?

O Mythos completou a simulação completa de ataque a rede corporativa “The Last Ones” de 32 etapas em 3 de 10 tentativas, com média de 22 das 32 etapas em todas as execuções. Em tarefas capture-the-flag de nível especialista, o Mythos teve sucesso 73% das vezes. O AISI notou que o desempenho continua melhorando com orçamentos de tokens maiores, sem platô observado até o teto de 100 milhões de tokens testado.

Quais são as limitações da avaliação do AISI?

Os cyber ranges não tinham defensores ativos, ferramentas defensivas nem penalidades por disparar alertas. A avaliação se aplica a “sistemas empresariais fracamente defendidos e vulneráveis”, não a ambientes de produção hardened com SOCs e IDS. O Mythos também falhou no range “Cooling Tower” de tecnologia operacional. Redes empresariais reais têm EDR, segmentação de rede, detecção de anomalias e analistas humanos que a avaliação não modelou.

O que profissionais devem fazer em resposta a essas descobertas?

Implante hooks PreToolUse como camada mínima de segurança. Adicione testes ofensivos autônomos ao pipeline de deploy como exercício de esgotamento de orçamento de tokens. Avalie dependências open-source com uma nova pergunta: quem está gastando tokens na segurança desta biblioteca? O enquadramento de prova de trabalho significa que todo sistema de produção precisa de uma fase adversarial onde agentes de IA tentam quebrá-lo antes do deploy.

Citações

  1. UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, 13 de abril de 2026. 

  2. Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, 14 de abril de 2026. 

  3. Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, 14 de abril de 2026. 

  4. Nicholas Carlini, “An AI Found a Bug in My Code (That Humans Missed for 23 Years),” nicholas.carlini.com, 2026. Conforme referenciado em When Your Agent Finds a Vulnerability

  5. Anthropic, “Mythos Preview: Responsible Disclosure of Cyber Capabilities,” red.anthropic.com, 2026. Conforme referenciado em Project Glasswing

Artigos relacionados

O Repo Não Deveria Ter Voto na Própria Confiança

Dois CVEs de bypass do diálogo de confiança do Claude Code em 37 dias revelam uma falha de ordem de carregamento. Um inv…

11 min de leitura

Servidores MCP são a nova superfície de ataque

50 vulnerabilidades MCP, 30 CVEs em 60 dias, 13 críticas. Protocolos de uso de ferramentas são a superfície de ataque qu…

7 min de leitura

O Ralph Loop: Como Executo Agentes de IA Autônomos Durante a Noite

Construí um sistema de agentes autônomos com stop hooks, orçamentos de spawn e memória em sistema de arquivos. Aqui estã…

7 min de leitura