O governo Trump lançou em 14 de julho o programa “Gold Eagle”, um centro de troca de informações orientado por IA que classifica relatórios de vulnerabilidades submetidos por agências federais e empresas privadas com base na gravidade do risco de falhas de software, além de coordenar atualizações de correções de vulnerabilidades relevantes em infraestruturas críticas (incluindo o sistema financeiro); a Anthropic teria supostamente participado.
Arquitetura do programa Gold Eagle: quatro órgãos coordenam e integram CISA, CVE, NVD
De acordo com o anúncio da Casa Branca, o programa Gold Eagle integra as seguintes iniciativas federais de gerenciamento de vulnerabilidades existentes:
Processo de divulgação de vulnerabilidades da CISA: o Catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities Catalog) da CISA
Sistema CVE: Common Vulnerabilities and Exposures
NIST National Vulnerability Database (NVD): Banco de Dados Nacional de Vulnerabilidades dos EUA
Organização de software open source: em parceria com a comunidade open source para coletar informações sobre vulnerabilidades
As instituições participantes incluem a Casa Branca, a CISA, o Departamento do Tesouro e o Departamento de Defesa. O secretário do Tesouro, Bessent, afirmou que haverá “parceria com o setor privado para proteger instituições financeiras, eliminar vulnerabilidades e preservar a integridade do sistema financeiro dos EUA”; ao mesmo tempo, diversas vozes expressaram dúvidas sobre se o plano causará sobreposição de funções com mecanismos existentes.
Suposta participação da Anthropic: compromisso de política após o modelo de segurança Mythos e disputa sobre controle de exportações
De acordo com reportagens, após um desentendimento em 30 de junho de 2026 entre a Anthropic e a Casa Branca sobre questões de controle de exportações, a empresa declarou em um post de blog que permitirá que autoridades federais obtenham antecipadamente seus relatórios de avaliação de ameaças, e que vai “participar do centro interdepartamental de troca de informações sobre vulnerabilidades de segurança cibernética instituído pelo Artigo 2(d) da ordem executiva de 2 de junho”; a Anthropic também afirmou que, ao identificar padrões relevantes de jailbreak significativo ou de abuso, iniciará rapidamente investigações, fará classificação e notificará os órgãos governamentais correspondentes.
A Anthropic já publicou na primavera o Mythos — um modelo de IA focado em segurança cibernética —, inicialmente fornecido a alguns parceiros por meio do projeto Project Glasswing, e depois parte das agências federais obteve permissões para testes; tudo isso não recebeu divulgação oficial formal.
Perguntas frequentes
“Gold Eagle” (Pomba Dourada) — quais são as principais funções do programa e como ele se relaciona com o trabalho atual da CISA?
Segundo reportagens, o Gold Eagle é um centro de troca de informações de vulnerabilidades orientado por IA que coleta relatórios de vulnerabilidades de software do governo e da indústria, os classifica por nível de risco e coordena atualizações de correções de infraestruturas críticas; ao mesmo tempo, integra o processo de divulgação de vulnerabilidades da CISA, o sistema CVE e o banco de dados nacional de vulnerabilidades do NIST. No entanto, ainda não houve explicação oficial sobre como o programa se conectará ao trabalho atual da CISA, e diversos questionamentos foram levantados sobre possível duplicidade de funções.
A Anthropic já entrou oficialmente no programa Gold Eagle?
Segundo reportagens, ainda não houve divulgação oficial; a Anthropic afirmou em seu post de blog que participará do “centro interdepartamental de troca de informações sobre vulnerabilidades de segurança cibernética instituído por ordem executiva de 2 de junho”, o que foi interpretado como um sinal de participação no programa Gold Eagle; vale seguir as declarações oficiais da Anthropic e da Casa Branca.
Quais questões de transparência de informações existem atualmente no programa Gold Eagle?
Segundo reportagens, as informações essenciais que o governo não explicou incluem: qual órgão é responsável pela operação diária, quantas vulnerabilidades já foram tratadas, se alguma correção já foi concluída, quais empresas participam, como são protegidos dados sensíveis de vulnerabilidades e qual é o mecanismo específico de integração com o trabalho atual da CISA.