Atenção FinTech: Quando o Mythos for público, você tem 48 horas para sobreviver

Em 7 de abril de 2026, a Anthropic fez algo raro no mundo da tecnologia: anunciou seu modelo mais poderoso e, ao mesmo tempo, disse que você não pode tê-lo.

É a primeira vez em quase sete anos que uma grande empresa de IA reteve publicamente um modelo por razões de segurança.¹ Mas vale a ressalva: não é a primeira vez que a Anthropic segura um lançamento. Em 2022, a empresa terminou o treinamento da primeira versão do Claude e não o lançou imediatamente, citando a necessidade de testes internos de segurança.² A pergunta legítima é se há elemento de marketing na decisão — afinal, "o modelo poderoso demais para ser liberado" é uma narrativa que vende. Mas desta vez os dados sustentam o alarmismo.

O Mythos Preview identificou milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores do mundo. Entre elas, um bug de 27 anos no OpenBSD e uma falha de 16 anos no FFmpeg — uma linha de código que ferramentas automatizadas de teste haviam executado 5 milhões de vezes sem nunca detectar o problema.³

O Opus 4.6, modelo anterior da Anthropic, conseguiu transformar vulnerabilidades do Firefox em exploits funcionais apenas duas vezes em várias centenas de tentativas. O Mythos Preview repetiu o mesmo experimento e desenvolveu exploits funcionais 181 vezes — e obteve controle de registros em outras 29 tentativas adicionais.³

Não é uma atualização. É uma ruptura de categoria.

A janela que fechou

Por décadas, a cibersegurança operou dentro de uma lógica de tempo. Uma vulnerabilidade era descoberta, anunciada com uma correção sugerida, e as equipes tinham dias — às vezes semanas — para aplicar o patch antes que atacantes desenvolvessem um exploit funcional.

Essa lógica já estava sendo corroída antes do Mythos. A popularização de ferramentas de IA para desenvolvimento de código reduziu o tempo médio de exploração de mais de quatro dias para entre 24 e 48 horas — qualquer desenvolvedor mediano com acesso a um modelo de linguagem passou a conseguir adaptar exploits existentes muito mais rápido do que antes. O Mythos não acelerou essa tendência. Ele a tornou irrelevante.

Com o Mythos, o Mozilla precisou corrigir 271 vulnerabilidades no Firefox. O CTO da Mozilla, Bobby Holley, descreveu o resultado como causando "vertigem" diante da necessidade de corrigir tantas falhas de uma vez.⁴ Para efeito de comparação, o Opus 4.6 havia encontrado 22 bugs no Firefox — já considerado um resultado expressivo na época.

O Instituto de Segurança de IA do Reino Unido avaliou o Mythos Preview e confirmou que ele foi o primeiro modelo de IA a completar "The Last Ones" — um benchmark projetado para simular o comprometimento completo de uma rede corporativa. O modelo conseguiu em 3 de cada 10 tentativas, completando em média 22 dos 32 passos necessários.⁵

A natureza dual do Mythos é o ponto central: a mesma inteligência que encontra e corrige vulnerabilidades pode encontrá-las e explorá-las. Quando o modelo — ou um equivalente — chegar ao mercado aberto, a diferença entre defender e atacar será apenas uma questão de quem chegou primeiro.

Os bancões vão sobreviver. E a sua empresa?

Quando o Fed e o Tesouro americano convocaram os CEOs dos maiores bancos de Wall Street para uma reunião de emergência sobre o Mythos, o JPMorgan já estava do outro lado da mesa — parceiro do Project Glasswing, o programa da Anthropic que dá acesso controlado ao Mythos para fins defensivos, ao lado de AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks.⁶

Itaú, Bradesco, Banco do Brasil, Santander Brasil — esses players têm equipes de cibersegurança de centenas de pessoas, orçamentos na casa dos bilhões e relacionamentos institucionais que eventualmente os colocarão na fila do acesso defensivo. Um ataque bem-sucedido contra qualquer um deles seria devastador para a reputação e geraria anos de litígio regulatório. Mas nenhum deles quebraria.

Agora considere uma fintech de 60 pessoas. Carteira de crédito de R$300 milhões. Folha mensal de R$800 mil. Reserva operacional de 90 dias.

Um ataque que desvia R$5 milhões — menos de 2% da carteira — não é uma crise gerenciável. É uma sentença. A folha do mês seguinte não sai. Os investidores entram em pânico. O Banco Central monitora. Os clientes migram. Em 30 dias, 60 famílias estão desempregadas e mais um CNPJ some do ecossistema financeiro brasileiro.

O Mythos não discrimina pelo tamanho do alvo. As consequências, sim.

A força do ecossistema é também sua fragilidade

O Brasil construiu um dos sistemas financeiros digitais mais sofisticados do mundo. Mais de 1.600 fintechs ativas.⁷ Pix como infraestrutura de pagamentos instantâneos. Open Finance conectando instituições em tempo real. Banking as a Service permitindo que qualquer empresa distribua produtos financeiros.

Mas há uma diferença estrutural que separa as fintechs dos grandes bancos — e que raramente aparece nas discussões de estratégia. Itaú, Bradesco e Banco do Brasil são operações verticalizadas: desenvolvem internamente boa parte de seus sistemas críticos, mantêm equipes proprietárias de infraestrutura e carregam décadas de camadas tecnológicas próprias. As fintechs, por design e por necessidade, constroem sobre infraestrutura compartilhada: cloud de terceiros, bibliotecas open source, integradores de pagamento, SDKs de identidade, APIs do Open Finance. É a escolha racional — permite escalar rápido com equipes pequenas.

O problema é que essa racionalidade cria uma superfície de ataque coletiva. Uma vulnerabilidade em uma biblioteca open source amplamente utilizada não é um problema de uma fintech. É um problema de dezenas delas simultaneamente — todas rodando o mesmo código com o mesmo bug que o Mythos já conhece.

Os hackers sofisticados já entenderam essa geometria. O vetor preferido não é mais a instituição grande e bem defendida — é o fornecedor ou parceiro menor que tem acesso a ela. No Brasil, com 1.600 fintechs interligadas via APIs, Pix e infraestrutura compartilhada, você não precisa ser o alvo primário para ser a vítima principal. Basta ser o elo pelo qual o ataque sobe na cadeia.

O regulatório fez a parte dele — e parou na metade

O Banco Central merece crédito pelo que fez. Em março de 2026, antes mesmo que o Mythos fosse anunciado, o regulador já havia elevado o padrão: 14 procedimentos mínimos obrigatórios de cibersegurança, prazo de conformidade encerrado em março, e uma instrução clara de que o tema precisava sair do departamento de TI e chegar ao board.⁸

A Resolução BCB 498 foi além: tornou obrigatória a contratação de seguro cibernético para fornecedores de tecnologia que prestam serviço ao sistema financeiro.⁹ É um avanço real — e bem direcionado. O BC entendeu que o elo fraco frequentemente é o fornecedor, não a instituição financeira em si.

Mas seguro é ressarcimento, não proteção. E ressarcimento tem timing próprio — que não é o timing de um ataque.

A sequência real no D0 do Mythos não respeita calendário regulatório: a vulnerabilidade é encontrada em milissegundos, o exploit é desenvolvido em horas, o ataque é executado antes de qualquer patch disponível, o dinheiro some, a folha não sai, o sinistro é aberto, o processo demora semanas. A fintech fecha antes da indenização chegar.

O BC construiu um piso. O piso é necessário. Mas o piso não é o teto — e confundir os dois pode ser fatal.

O que fazer antes que o relógio comece

Esta não é uma lista para o time de TI. É uma lista para o CEO.

Calcule seu número de sobrevivência. Quanto tempo sua fintech opera se R$5 milhões sumirem amanhã? Se a resposta for menos de 60 dias, você tem um problema existencial que nenhuma política de segurança resolve sozinha. Reserva de continuidade operacional não é conservadorismo financeiro — é o mínimo para operar em ambiente onde a janela de ataque é medida em horas.

Contrate seu próprio seguro cibernético. A Resolução 498 exigiu seguro dos seus fornecedores. Eles têm a apólice deles. Você precisa da sua. A cobertura do fornecedor protege o fornecedor — não necessariamente você, não necessariamente no prazo que você precisa.

Mapeie sua cadeia antes que alguém mapeie por você. Quais fornecedores têm acesso a sistemas críticos da sua operação? Quantos deles cumpriram efetivamente a Resolução 498? Você consegue responder isso hoje, sem consultar o time de TI? Se não consegue, um atacante com Mythos vai encontrar a resposta antes de você.

Faça um teste de penetração agora. Um red team contratado hoje, enquanto o Mythos ainda não é público, custa uma fração do que custará depois — e encontra as vulnerabilidades enquanto ainda há tempo de corrigi-las. Quando o modelo for público, a demanda por red team vai explodir junto com o preço.

Escreva o plano de 48 horas. Não um documento de compliance de 80 páginas. Uma cadeia de decisão: quem aciona a resposta, quem comunica ao Banco Central, quem fala com clientes, quem negocia com fornecedores, quem autoriza decisões financeiras de emergência. Esse plano precisa existir antes do incidente — não ser escrito durante ele.

Uma pergunta para fechar

Modelos poderosos proliferam. Sempre proliferaram. Os Estados Unidos acharam que manteriam o monopólio nuclear. A União Soviética testou sua própria bomba quatro anos depois de Hiroshima.

A questão não é se uma capacidade equivalente ao Mythos vai chegar ao mercado aberto. A questão é quando — e quem vai estar preparado quando isso acontecer.

Para os bancões, é uma questão de resiliência. Para as fintechs, é uma questão de sobrevivência.

Você tem 48 horas. O relógio ainda não começou — mas vai começar.

Na próxima edição desta série: a lacuna de talento em cibersegurança que o Mythos vai expor. O Brasil vai precisar de dezenas de milhares de profissionais que ainda não existem.

Notas e fontes

¹ NBC News — "Why Anthropic won't release its new Mythos AI model to the public", abril 2026. https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234

² Wikipedia — "Anthropic". https://en.wikipedia.org/wiki/Anthropic

³ Anthropic Red Team — "Claude Mythos Preview", abril 2026. https://red.anthropic.com/2026/mythos-preview/

⁴ The Register — "Mythos found 271 Firefox flaws – none a human couldn't spot", abril 2026. https://www.theregister.com/2026/04/22/mozilla_firefox_mythos_future_defenders/

⁵ The Next Web — "Mozilla fixes 271 Firefox vulnerabilities found by Anthropic's Claude Mythos", abril 2026. https://thenextweb.com/news/mozilla-firefox-claude-mythos-271-vulnerabilities

⁶ SecurityWeek — "Claude Mythos Finds 271 Firefox Vulnerabilities", abril 2026. https://www.securityweek.com/claude-mythos-finds-271-firefox-vulnerabilities/

⁷ Distrito Fintech Report 2025 — número de fintechs ativas no Brasil.

⁸ Banco Central do Brasil — Resoluções CMN 5.274/2025 e BCB 538/2025, março 2026.

⁹ Banco Central do Brasil — Resolução BCB nº 498/2025.

Eric Ramos é fundador do Ângulo AI e ex-CTO. Escreve sobre estratégia de IA para executivos do setor financeiro.