Semana passada relatórios sobre o acesso não autorizado a Claude Mythos é lido como uma história de segurança de IA. É também, estruturalmente, uma história da Coreia do Norte (RPDC). Mesmo que os atuais suspeitos sejam entusiastas do Discord.
Mythos foi feito para ser contido. A poucas horas do público Anúncio do projeto Glasswingum ambiente terceirizado tornou-se o vetor de acesso. Não porque a Anthropic fez algo errado. Porque a liberação controlada, na escala em que o software empresarial moderno opera, é uma meta e não uma garantia.
A questão interessante não é quem entrou desta vez. É quem entra em seguida e sua economia.
O que aconteceu?
O grupo acessou o Mythos no mesmo dia em que foi anunciado, adivinhando o ponto final com base nas convenções de nomenclatura da Anthropic para modelos anteriores. O vetor era um indivíduo empregado de uma empresa terceirizada, e não da infraestrutura principal da Antrópica. As caracterizações das fontes apontam para uma comunidade de investigação que “não está a causar estragos” no modelo.
A leitura errada
Se a cobertura se concentrar apenas na postura de segurança da Anthropic ou no debate sobre segurança da IA, estamos perdendo um ângulo importante.
O sinal estrutural é que qualquer liberação de modelo de pré-visualização ou acesso controlado tem limites porosos por design. Os controles de acesso em papel (contratos, NDAs, listas de fornecedores aprovados) diferem daqueles na prática. Cada parceiro traz seus próprios prestadores de serviços, endpoints e pessoas com credenciais legítimas e higiene de segurança desigual. Essa é a verdadeira superfície de controle, não o perímetro criptográfico em torno do modelo em si. O que torna este um problema da cadeia de suprimentos que envolve IA, e não um problema de IA que envolve fornecedores.
O ponto cego
O discurso político da IA está centrado nos EUA versus China, incluindo energia, controlos de chips, regras de exportação, postura soberana da IA e quem ganha a corrida.
Estruturalmente ausente da conversa mais ampla está o único ator estatal cujo fluxo total de receitas em moeda estrangeira é o roubo cibernético. A RPDC não precisa vencer nenhuma corrida. Eles precisam de um ganho de produtividade de 20 a 30% nas operações existentes.
O pipeline está documentado. Grupo Insikt País criptográfico estimou que o roubo de criptomoedas vinculado ao regime atingiu cerca de US$ 3 bilhões até 2023. Equipe de Monitoramento de Sanções Multilaterais (sucessor do Painel de Peritos da ONU após o veto da Rússia em 2024) desde então tem feito o trabalho primário mais difícil. O relatório de outubro de 2025 da MSMT documenta US$ 2,8 bilhões roubados de empresas de criptomoedas entre janeiro de 2024 e setembro de 2025 em mais de 40 assaltos, com receitas explicitamente vinculadas a ADM e financiamento de programas de mísseis balísticos. O Departamento de Estado atualizou a contagem em janeiro de 2026: outros US$ 400 milhões roubados nos três meses desde a publicação, elevando os totais de 2025 para mais de US$ 2 bilhões.
Cada intrusão bem-sucedida de troca de criptografia termina em uma plataforma de lançamento.
Por que a Coreia do Norte quer o próximo modelo
As intrusões nas exchanges de criptomoedas exigem muita mão-de-obra em todas as fases. Recon, engenharia social em escala (personas falsas de desenvolvedores no GitHub e LinkedIn, spear-phishing de engenheiros individuais em provedores de carteira), coleta de credenciais, movimentação lateral pós-exploração, extração de chaves e lavagem.
A capacidade de agente comprime o ciclo para incluir as mesmas horas de operação, invasões mais bem-sucedidas e mais $$$ roubados por operador.
Bybit é um exemplo fácil. O FBI atribuiu aproximadamente US$ 1,5 bilhão em ativos virtuais roubados ao TraderTraitor em fevereiro de 2025. A cadeia de intrusão executou meses de segmentação de pacientes contra um único administrador de sistema Safe{Wallet} via phishing, seguido de paciência operacional pós-comprometimento. Esses tipos de ataques são caros, demorados e ainda assim extraordinariamente produtivos.
Lazarus e TraderTraitor não precisam de AGI. Eles precisam do aumento de produtividade que transforme um operador júnior em um operador sênior e reduza semanas da fase de planejamento. Não precisa ser Mythos especificamente. Qualquer capacidade comparável através de um vetor comparável faz o trabalho.
Ferramentas melhores significam invasões mais bem-sucedidas. Invasões mais bem-sucedidas significam mais criptografia roubada. Mais criptografia roubada significa mais mísseis.
Três padrões de acesso
Três padrões diferentes de tradecraft continuam sendo confundidos na cobertura da mídia. Eles não são o mesmo TTP e tratá-los como um só enfraquece a resposta de todos os três.
1. Uso indevido do contratante. Um funcionário legitimamente credenciado de um fornecedor terceirizado usa seu acesso para fins não autorizados. Esta é a história do Mythos. As credenciais e o acesso são reais, embora a intenção seja variável. Defesas (fáceis de dizer, difíceis de fazer bem): telemetria, monitoramento comportamental e escopo de menor privilégio na camada do fornecedor.
2. Contratação fraudulenta. Um adversário coloca seus próprios agentes dentro do alvo por meio de identidades roubadas ou sintéticas, muitas vezes por meio de contratação remota de TI. Este é o esquema dos trabalhadores de TI da RPDC. Insikt's Por dentro do golpe documenta a infraestrutura da PurpleBravo: empresas de fachada na China falsificando empresas legítimas de TI e um ecossistema de malware (BeaverTail, InvisibleFerret, OtterCookie) visando a indústria de criptomoedas. As credenciais são reais, mas as identidades são falsas. Defesas: verificação de identidade na contratação (entrevistas presenciais para evitar truques de IA), verificação contínua de pessoal, linhas de base geográficas e comportamentais.
3. Comprometimento da cadeia de abastecimento. Os sistemas de um fornecedor confiável são violados e o invasor usa o canal de distribuição legítimo desse fornecedor para atingir o alvo real. Compromisso LiteLLM do TeamPCP de março de 2026 atingiu diretamente a cadeia de ferramentas de IA, envenenando o Trivy (um scanner de segurança defensivo) para chegar a um pacote com 95 milhões de downloads mensais. Defesas: integridade do pipeline de construção, monitoramento de dependências, artefatos assinados.
Esses três vetores de ataque convergem para a mesma verdade. Qualquer pré-visualização ou programa de IA de lançamento limitado que dependa de terceiros é exposto a todos os três vetores simultaneamente. A RPDC é o actor mais motivado em todo o triângulo porque o caso das receitas é específico, mensurável e directamente benéfico para o regime. Eles são incentivados a serem “nativos de IA”.
E daí?
Na indústria de segurança, precisamos parar de pensar no acesso à IA como um problema puramente de laboratório, quando também é um problema de sanções. O enquadramento da competição entre grandes potências obscurece o ator que já está online, com um rico histórico de monetização de assaltos cibernéticos para financiar mísseis.
“Lançamento limitado” é um adesivo maravilhoso. A realidade da IA, do ponto de vista da modelagem de ameaças, é uma contagem regressiva para turbinar as capacidades adversárias.
E agora?
A conversa honesta é que o “acesso controlado” de IA do tipo perímetro é menos eficaz contra adversários patrocinados pelo Estado. Um caminho de segurança produtivo é uma infraestrutura de visualização distinta, telemetria agressiva, canários e acesso de terceiros vinculados à verificação em nível de pessoal, em vez de atestado contratual. (Os pontos finais previsíveis devem ser os primeiros a morrer.)
Trocas e custodiantes de criptografia: seu modelo de ameaça precisa antecipar o que o Lazarus pode fazer daqui a 3 a 6 meses, e não o que eles fizeram no último trimestre. Suponha que eles melhorem mais rápido do que suas defesas.
Decisores políticos: A RPDC é uma entidade de primeira classe na governação do acesso à IA. O quadro da Equipa Multilateral de Monitorização de Sanções já documenta exaustivamente a evasão de sanções cibernéticas. O que ainda não faz é nomear o acesso à capacidade de IA como uma categoria relevante para sanções. Os controlos de exportação de dupla utilização têm governado a transferência de tecnologia de semicondutores e mísseis durante décadas. A capacidade de IA é a próxima categoria óbvia.
CISOs corporativos (fora da órbita do laboratório de IA): seus ambientes terceirizados agora estão dentro da superfície de ameaças à capacidade de IA, independentemente de você ter optado por participar ou não. Inventário em conformidade.
Fechar
Mythos é uma prévia de um padrão de acesso. Qualquer ator cujo modelo de negócios seja roubar dinheiro para construir armas encontrará a costura de terceiros. Desta vez, foram hobbyistas. A RPDC passou duas décadas a provar porque é que a não-proliferação é o quadro certo neste caso.
