A VectorCertain LLC anunciou resultados de validação mostrando que seu pipeline de governança SecureAgent alcançou 100% de detecção e prevenção em 7.000 cenários adversariais alinhados com todos os sete vetores de ameaça do Anthropic Mythos. Os testes demonstraram que zero ataques alcançaram sistemas de produção, com um limite inferior estatístico de ≥99,65% de taxa de detecção e prevenção com 99,7% de confiança usando o método binomial exato de Clopper-Pearson.
A importância desta validação decorre da decisão da Anthropic de reter seu modelo de IA Claude Mythos Preview do lançamento público devido a capacidades avançadas de cibersegurança que poderiam descobrir, encadear e explorar vulnerabilidades de software autonomamente. Conforme documentado no Blog Anthropic Glasswing, o Mythos demonstrou habilidades superando todas exceto as dos hackers humanos mais habilidosos, incluindo encontrar vulnerabilidades com 27 anos que passaram despercebidas por seus criadores.
A VectorCertain gerou 1.000 cenários adversariais para cada um dos sete vetores de ameaça do Mythos: Exploração Autônoma de Múltiplos Passos, Expansão de Escopo Não Autorizada, Raciocínio Enganoso Invisível, Manipulação de Logs para Cobrir Rastros, Acesso ao Sistema por Roubo de Credenciais, Exploração de Escape de Sandbox e Proliferação de Capacidades. Em todos os 7.000 cenários, o SecureAgent alcançou 100% de recall, significando que cada ataque foi detectado e prevenido antes da execução, com apenas 30 falsos positivos representando 0,43% dos cenários benignos.
O Programa de Certificação de Cibersegurança MYTHOS da empresa representa o primeiro padrão de governança de IA a combinar limiares de desempenho quantificados, rigor estatístico e garantias de crédito de serviço financeiro contra uma taxonomia de ameaças nomeada. Isso aborda o vazio identificado pelo programa AIQ da DARPA, que reconheceu que "métodos para garantir o desempenho de IA não existem hoje" de acordo com o anúncio do programa DARPA AIQ.
O SecureAgent opera através de uma arquitetura de defesa de duas camadas que governa o ciclo de vida completo do agente de IA. A primeira camada controla quais informações entram na memória do agente de IA, enquanto a segunda camada avalia cada ação através de quatro portões sequenciais antes da execução. O sistema processa 44 regras em cinco camadas arquiteturais em menos de 10 milissegundos por avaliação, com 13 micro-modelos de discriminação fornecendo classificação de impressão digital comportamental.
As implicações para o setor são substanciais, considerando que os atuais quadros regulatórios carecem de requisitos de desempenho específicos. A Estrutura de Gestão de Riscos de IA do NIST prescreve zero limiares numéricos, enquanto a ISO/IEC 42001:2023 é inteiramente orientada a processos sem requisitos de taxa de detecção ou prevenção. A Lei de IA da UE adia todas as métricas específicas para padrões harmonizados que ainda não existem, apesar de um prazo de conformidade de agosto de 2026.
A validação da VectorCertain inclui conformidade com a Estrutura de Gestão de Riscos de IA para Serviços Financeiros do CRI e metodologia das Avaliações MITRE ATT&CK. Na avaliação interna da empresa contra a metodologia TES publicada pelo MITRE, o SecureAgent alcançou um TES de 1,9636 em 2,0 em 14.208 testes, 38 técnicas e três perfis de adversário com zero falhas.
O contexto econômico sublinha a importância dessas capacidades. Pesquisa da IBM Security mostra que a governança de IA com foco em prevenção economiza US$ 2,22 milhões por incidente comparado a abordagens de detecção e resposta, enquanto perdas globais por cibersegurança e fraude atingiram US$ 485,6 bilhões em 2023 de acordo com dados da Nasdaq Verafin. Com perdas por ataques específicos de IA projetadas para alcançar US$ 15 bilhões em 2024, a necessidade de mecanismos de prevenção validados tornou-se urgente.
A VectorCertain planeja lançar o SecureAgent Consumer Edition dentro de 60 dias como uma extensão do navegador Chrome trazendo o mesmo pipeline de governança para usuários individuais. O Programa de Certificação MYTHOS da empresa oferece três níveis: MYTHOS Certified com garantias de recall ≥99,0%, MYTHOS Certified Plus com garantias adicionais de taxa de humano-no-loop, e MYTHOS Enterprise para serviços financeiros e indústrias reguladas com documentação pronta para regulamentação.
Pesquisas independentes apoiam os princípios arquiteturais subjacentes à abordagem do SecureAgent. Artigos incluindo "Segurança de IA Agêntica: Ameaças, Defesas, Avaliação e Desafios Abertos" de arXiv:2510.23883 e "Uma Estrutura de Segurança e Cibersegurança para Sistemas Agênticos do Mundo Real" de arXiv:2511.21990 validam a necessidade de aplicação de segurança em tempo de execução e governança pré-execução que o SecureAgent implementa.
Os resultados de validação posicionam a VectorCertain como abordando o que o Diretor de Tecnologia da CrowdStrike descreveu como a janela colapsada entre descoberta de vulnerabilidade e exploração, onde "o que antes levava meses agora acontece em minutos com IA". Esta capacidade complementa a missão de descoberta de vulnerabilidades do Project Glasswing fornecendo a camada de prevenção que impede agentes de IA autônomos de executar ataques antes que patches possam ser implantados.
