A Mozilla, desenvolvedora do Firefox, revelou que uma versão inicial da IA Claude Mythos da Anthropic identificou 271 vulnerabilidades no navegador Firefox durante testes internos, todas as quais foram corrigidas nesta semana.

Resumo

• A Mozilla afirmou que a IA Claude Mythos da Anthropic identificou 271 vulnerabilidades no Firefox durante testes internos, todas corrigidas nesta semana.
• O modelo demonstrou capacidade de escanear grandes bases de código e detectar falhas de segurança mais rapidamente do que revisões tradicionais conduzidas por humanos, embora nenhuma descoberta tenha ido além do que pesquisadores de elite poderiam identificar.

As descobertas indicam como sistemas de IA avançados estão começando a escanear grandes bases de código em uma escala que antes dependia de longas horas de trabalho manual por pesquisadores de cibersegurança. A Mozilla afirmou que até mesmo alvos de software reforçado podem agora ser examinados de forma mais aprofundada em um período mais curto.

“À medida que essas capacidades chegam às mãos de mais defensores, muitas outras equipes estão agora experimentando a mesma vertigem que sentimos quando as descobertas começaram a se tornar claras,” escreveu a Mozilla. “Para um alvo reforçado, apenas um bug assim teria sido um alerta vermelho em 2025, e tantos de uma vez fazem você parar para pensar se é até mesmo possível acompanhar.”

Testes anteriores usando outro modelo da Anthropic haviam descoberto 22 bugs sensíveis à segurança em uma versão anterior do Firefox. Apesar desse progresso, a Mozilla observou que eliminar completamente as explorações de software há muito é considerado irrealista.

“Até agora, a indústria lutou a um empate na questão da segurança,” escreveu a empresa. “Fornecedores de softwares críticos expostos na internet, como o Firefox, levam a segurança muito a sério e possuem equipes que se levantam todas as manhãs pensando em como manter os usuários seguros.”

IA acelera a descoberta de vulnerabilidades, mas riscos permanecem

A Mozilla afirmou que o novo sistema pode revisar o código-fonte e sinalizar fraquezas de maneiras que anteriormente exigiam expertise altamente especializada humana. Resultados internos mostraram que o modelo não descobriu bugs além do alcance dos principais pesquisadores.

“Alguns comentaristas preveem que futuros modelos de IA irão descobrir vulnerabilidades completamente novas que desafiam nossa compreensão atual, mas não acreditamos nisso,” disse a empresa. “Softwares como o Firefox são projetados de forma modular para que os humanos possam raciocinar sobre sua correção. É complexo, mas não arbitrariamente complexo.”

Lançado em março, o Claude Mythos é descrito pela Anthropic como seu modelo mais avançado para tarefas de raciocínio, codificação e cibersegurança, posicionado acima de sua série Opus anterior. Testes pré-lançamento sugeriram que ele poderia identificar milhares de vulnerabilidades desconhecidas em sistemas operacionais e navegadores.

O acesso ao sistema permanece limitado por meio de uma iniciativa restrita conhecida como Project Glasswing, que permite a empresas selecionadas, incluindo Amazon, Apple e Microsoft, escanear softwares em busca de falhas de segurança.

Pesquisadores de segurança alertam que a mesma capacidade poderia ser usada de forma ofensiva. Ferramentas de IA que podem analisar código em escala também podem automatizar a descoberta de bugs exploráveis em sistemas de software amplamente utilizados.

Testes realizados pelo Instituto de Segurança de IA do Reino Unido mostraram que o modelo poderia realizar operações cibernéticas complexas por conta própria, incluindo a execução de uma simulação de ataque em rede corporativa de múltiplas etapas sem intervenção humana. Esses resultados chamaram a atenção de governos e agências de inteligência.

Apesar de tensões anteriores com a administração de Donald Trump sobre o uso da tecnologia da Anthropic, a Agência de Segurança Nacional (NSA) dos EUA implantou uma versão do Claude Mythos em redes classificadas, segundo pessoas familiarizadas com o assunto. A medida sinaliza um interesse crescente entre agências americanas em ferramentas de IA capazes de detectar vulnerabilidades críticas de software.

A Anthropic também reconheceu que os atuais benchmarks de cibersegurança estão lutando para acompanhar seus modelos mais recentes, levantando questões sobre como medir o desempenho de IA nesta área.

A Mozilla afirmou que os resultados sugerem um possível ponto de virada, onde os defensores podem começar a reduzir a longa lacuna com os atacantes.

“Estamos extremamente orgulhosos de como nossa equipe enfrentou esse desafio, e outros também irão,” escreveu a empresa.

“Nosso trabalho não está concluído, mas viramos a esquina e podemos vislumbrar um futuro muito melhor do que apenas acompanhar. Os defensores finalmente têm uma chance de vencer, decisivamente.”