Pular para o conteúdo
Guide

Claude Mythos encontrou mais de 500 dias zero: automatize suas verificações de segurança

| 8 min read

Antrópica\

Abstract blue digital circuit pattern representing AI security analysis
Photo by Growtika on Unsplash

Em 7 de abril de 2026, a Anthropic anunciou a prévia de Claude Mythos. Em poucos dias de testes internos, foram encontrados mais de 500 vulnerabilidades de alta gravidade em algumas das bases de código mais examinadas do planeta: um jovem de 16 anos fora dos limites escrever no FFmpeg, uma negação de serviço de 27 anos no OpenBSD e uma execução remota de código no FreeBSD que foi não detectado por 17 anos (CVE-2026-4747).

Você não tem acesso ao Mythos. A Anthropic restringiu-o aos parceiros do Projeto Glasswing: AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike e alguns outros. Mas a mensagem é clara: se a IA conseguir encontrar bugs escondidos Bases de código testadas por fuzzers milhões de vezes, sua infraestrutura também apresenta lacunas.

Esta postagem cobre seis verificações de segurança que você pode automatizar agora mesmo com chamadas de API. Não é necessário acesso ao Mythos. Cada um leva um único curl comando e retorna JSON estruturado que você pode canalizar para alertas, painéis ou Pipelines de CI.

O que Mythos encontrou (e por que isso é importante para sua pilha)

Os fuzzers tradicionais lançam entradas aleatórias no código. Mythos lê e raciocina sobre o código-fonte como uma segurança pesquisador. Ele rastreou o histórico de commits do Git, identificou patches incompletos e construiu cadeias de exploração abrangendo múltiplas vulnerabilidades.

Projeto Tipo de bug Idade Detalhe
Codec FFmpeg H.264 Escrita fora dos limites 16 anos Colisão de numeração de fatias; fuzzers atingiram a linha 5 milhões de vezes sem ativá-la
TCP/SACK do OpenBSD Negação de serviço 27 anos Estouro de inteiro assinado + desreferência de ponteiro NULL; trava qualquer máquina remotamente
NFS do FreeBSD Execução remota de código 17 anos CVE-2026-4747; estouro de buffer de pilha na autenticação RPCSEC_GSS, nenhuma autenticação necessária
GhostScript Desvio de limites de pilha Décadas Verificação de limites incompleta no manuseio de fontes; espelhou um caminho corrigido anteriormente
CGIF Estouro de buffer Anos As redefinições do dicionário LZW fazem com que a saída exceda o tamanho da entrada; 100% de cobertura de código não percebeu

O custo? Menos de US$ 20.000 para encontrar o bug do OpenBSD. Menos de US$ 10.000 para as vulnerabilidades do FFmpeg. Isso é mais barato do que uma única semana de testes de penetração manuais.

Você não pode executar o Mythos em seu próprio código hoje. Mas você pode fechar as lacunas que não exigem binário profundo análise: certificados expirados, autenticação de e-mail ausente, cabeçalhos de segurança fracos e tempo de inatividade silencioso.

Verificação 1: expiração do certificado SSL

Certificados SSL expirados causam interrupções e matam a confiança do usuário. Stripe, Microsoft e Spotify tiveram incidentes relacionados a certificados. Uma única chamada de API informa quantos dias restam. 

curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "issuer": "Let's Encrypt",
    "valid_from": "2026-02-01T00:00:00.000Z",
    "valid_to": "2026-05-02T00:00:00.000Z",
    "days_remaining": 23,
    "expired": false,
    "expiring_soon": true
  }
}

O expiring_soon bandeira vira para true quando o certificado estiver no prazo de 30 dias expiração. Canalize isso para um alerta do Slack ou uma verificação de CI.

Verificação 2: validação do registro SPF

Um registro SPF configurado incorretamente significa que os invasores podem falsificar e-mails do seu domínio. O anúncio do Mythos lembrou a todos que a segurança vai além do código: sua configuração de DNS também é uma superfície de ataque. 

curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "has_spf": true,
    "record": "v=spf1 include:_spf.google.com ~all",
    "issues": [
      "SPF record uses ~all (softfail) instead of -all (hardfail)"
    ],
    "score": "B"
  }
}

Problemas comuns detectados pelo endpoint: ~all em vez de -all, muitas pesquisas de DNS (excedendo o limite de 10 pesquisas) e faltando include: diretivas para remetentes terceiros.

Verificação 3: política DMARC

Sem DMARC, suas verificações SPF e DKIM não têm aplicação. Os invasores passam e-mails falsificados para caixas de entrada que pular a verificação. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

Procurar policy: "reject" na resposta. Qualquer coisa menos (none ou quarantine) significa que e-mails falsificados do seu domínio ainda podem chegar às caixas de entrada.

Verificação 4: seletor DKIM

DKIM assina e-mails enviados com uma chave criptográfica. Sem ele, os servidores de recebimento não poderão verificar o conteúdo do e-mail não foi adulterado em trânsito. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com", "selector": "google"}'

Passe o seletor que seu provedor de e-mail usa (o Google usa google, a Microsoft usa selector1 e selector2). O endpoint valida se a chave pública existe e está corretamente formatado.

Verificação 5: cabeçalhos de segurança HTTP

Cabeçalhos ausentes como Strict-Transport-Security, X-Content-Type-Options, e Content-Security-Policy deixe seu aplicativo aberto para ataques de downgrade, detecção de MIME e XSS. 

curl -s -X POST https://api.botoi.com/v1/headers \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

A resposta inclui uma security_headers objeto mostrando quais cabeçalhos estão presentes e quais estão faltando, e quais valores eles contêm. Adicione esta verificação ao pipeline de implantação para capturar regressões.

Verificação 6: Tempo de atividade e tempo de resposta

Se o seu site estiver fora do ar, nada mais importa. Uma verificação rápida do tempo de atividade confirma que seu aplicativo responde, mede a latência e e captura loops de redirecionamento ou códigos de status inesperados. 

curl -s -X POST https://api.botoi.com/v1/uptime/check \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Combine todos os seis em um script de auditoria

Execute todas as seis verificações em qualquer domínio com um único script bash. Salve como audit.sh, faça isso executável e passe seu domínio como argumento. 

#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"

echo "Security audit for \$DOMAIN"
echo "=========================="

# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'

# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'

# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'

# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'

# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'

echo "\\nAudit complete."

Node.js com SDK Botoi

Se você preferir TypeScript, o @botoi/sdk O pacote executa todas as verificações em paralelo com segurança de tipo completa. 

import Botoi from "@botoi/sdk";

const botoi = new Botoi(); // no key needed for free tier

async function auditDomain(domain: string) {
  const [ssl, spf, dmarc, headers] = await Promise.all([
    botoi.sslCert.expiry({ domain }),
    botoi.dnsSecurity.spfCheck({ domain }),
    botoi.dnsSecurity.dmarcCheck({ domain }),
    botoi.headers.check({ url: \`https://\${domain}\` }),
  ]);

  const issues: string[] = [];

  if (ssl.data.days_remaining < 30) {
    issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
  }
  if (!spf.data.has_spf) {
    issues.push("Missing SPF record");
  }
  if (!dmarc.data.has_dmarc) {
    issues.push("Missing DMARC record");
  }
  if (spf.data.score !== "A") {
    issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
  }

  return { domain, issues, passed: issues.length === 0 };
}

const result = await auditDomain("your-app.com");
console.log(result);

Automatize com ações do GitHub

Execute essas verificações em cada push para main e em uma programação semanal. A ação falha na compilação quando o certificado SSL está dentro de 14 dias após a expiração ou a pontuação SPF cai abaixo de A. 

name: Security Audit
on:
  schedule:
    - cron: '0 9 * * 1' # Every Monday at 9 AM
  push:
    branches: [main]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check SSL expiry
        run: |
          RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
          if [ "\$DAYS" -lt 14 ]; then
            echo "::warning::SSL certificate expires in \$DAYS days"
            exit 1
          fi

      - name: Check DNS security
        run: |
          SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          SCORE=\$(echo \$SPF | jq -r '.data.score')
          if [ "\$SCORE" != "A" ]; then
            echo "::warning::SPF score is \$SCORE, not A"
          fi

O que o Mythos muda para as equipes de segurança

Mythos encontrou 595 entradas indutoras de falhas em todo o corpus OSS-Fuzz, em comparação com cerca de 150 do Opus 4.6. Ela desenvolveu 181 explorações funcionais do Firefox onde o Opus 4.6 gerenciava 2. A Anthropic comprometeu US$ 100 milhões em API créditos e US$ 4 milhões para organizações de segurança de código aberto por meio do Projeto Glasswing.

Conclusão: a descoberta de vulnerabilidades baseada em IA funciona. A escala e a velocidade só aumentarão. Os atacantes irão obtenha acesso a recursos semelhantes. Sua defesa não pode depender apenas de auditorias manuais.

As seis verificações nesta postagem não encontrarão um buffer overflow de 16 anos em suas dependências. Mas eles pegam o falhas pendentes que causam incidentes reais: certificados expirados, domínios de e-mail falsificáveis, falta de segurança cabeçalhos e tempo de inatividade silencioso. Automatize-os hoje. Conserte o que volta. Então se preocupe com as coisas mais profundas.

FAQ

O que é Claude Mythos e posso usá-lo?
Claude Mythos Preview é o mais novo modelo de IA da Anthropic, anunciado em 7 de abril de 2026. Ele encontrou mais de 500 vulnerabilidades de alta gravidade em projetos de código aberto como FFmpeg, OpenBSD e FreeBSD. A Anthropic não tem planos de lançamento público. O acesso é restrito aos parceiros do Project Glasswing, incluindo AWS, Apple, Google, Microsoft, Nvidia e CrowdStrike.
Que tipo de vulnerabilidades Claude Mythos encontrou?
Mythos encontrou bugs de corrupção de memória, buffer overflows, stack overflows e falhas lógicas. Exemplos notáveis ​​incluem uma gravação fora dos limites de 16 anos no codec H.264 do FFmpeg, um bug de negação de serviço de 27 anos na pilha TCP do OpenBSD e uma vulnerabilidade de execução remota de código de 17 anos no FreeBSD NFS (CVE-2026-4747).
Posso verificar a segurança SSL e DNS do meu domínio com uma API?
Sim. Envie uma solicitação POST para https://api.botoi.com/v1/ssl-cert/expiry com seu domínio para verificar a validade do certificado. Use /v1/dns-security/spf-check, /v1/dns-security/dmarc-check e /v1/dns-security/dkim-check para auditar registros de autenticação de e-mail. Todos os endpoints funcionam sem uma chave de API a 5 solicitações por minuto.
Como posso automatizar as verificações de segurança em um pipeline de CI?
Chame os endpoints de segurança de qualquer sistema CI usando curl ou um cliente HTTP. Verifique a expiração do SSL, os registros de segurança do DNS, os cabeçalhos de segurança HTTP e a disponibilidade do site em cada push ou em uma programação cron. A API Botoi retorna JSON estruturado, para que você possa analisar os resultados e falhar na construção quando uma verificação retornar um aviso.
O que é o Projeto Glasswing?
O Projeto Glasswing é uma iniciativa da Anthropic para usar Claude Mythos para segurança defensiva. Os parceiros incluem AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks e Linux Foundation. A Anthropic comprometeu até US$ 100 milhões em créditos de API e US$ 4 milhões para organizações de segurança de código aberto.

Comece a construir com botoi

150+ endpoints de API para consultas, processamento de texto, geração de imagens e utilitários para desenvolvedores. Plano gratuito, sem cartão de crédito.

Ver documentação da API Ver todas as ferramentas