A Mozilla, desenvolvedora do Firefox, revelou que uma versão inicial da IA Claude Mythos da Anthropic identificou 271 vulnerabilidades no navegador Firefox durante testes internos, todas as quais foram corrigidas nesta semana.

Resumo

• Mozilla afirmou que a IA Claude Mythos da Anthropic identificou 271 vulnerabilidades no Firefox durante testes internos, todas corrigidas nesta semana.
• O modelo mostrou que pode escanear grandes bases de código e detectar falhas de segurança mais rapidamente do que revisões tradicionais conduzidas por humanos, embora nenhuma descoberta tenha ido além do que pesquisadores de elite poderiam encontrar.

As descobertas indicam como sistemas de IA avançados estão começando a escanear grandes bases de código em uma escala que antes dependia de longas horas de trabalho manual por pesquisadores de segurança cibernética. Mozilla disse que até mesmo alvos de software reforçado podem agora ser examinados de forma mais profunda em um tempo menor.

“À medida que essas capacidades chegam às mãos de mais defensores, muitas outras equipes estão agora experimentando a mesma vertigem que sentimos quando as descobertas começaram a se tornar claras,” escreveu a Mozilla. “Para um alvo reforçado, apenas um bug assim teria sido um alerta vermelho em 2025, e tantos de uma vez fazem você parar para pensar se é até mesmo possível acompanhar.”

Testes anteriores usando outro modelo da Anthropic haviam descoberto 22 bugs sensíveis à segurança em uma versão anterior do Firefox. Apesar desse progresso, a Mozilla observou que eliminar completamente exploits de software há muito é considerado irrealista.

“Até agora, a indústria lutou a segurança até um empate,” escreveu a empresa. “Fornecedores de softwares críticos expostos na internet, como o Firefox, levam a segurança muito a sério e têm equipes de pessoas que se levantam todas as manhãs pensando em como manter os usuários seguros.”

IA acelera a descoberta de vulnerabilidades, mas riscos permanecem

Mozilla afirmou que o novo sistema pode revisar o código-fonte e sinalizar fraquezas de maneiras que anteriormente exigiam expertise altamente especializada humana. Resultados internos mostraram que o modelo não descobriu bugs além do alcance dos principais pesquisadores.

“Alguns comentaristas preveem que modelos de IA futuros irão descobrir formas completamente novas de vulnerabilidades que desafiam nossa compreensão atual, mas não pensamos assim,” disse a empresa. “Softwares como o Firefox são projetados de forma modular para que os humanos possam raciocinar sobre sua correção. É complexo, mas não arbitrariamente complexo.”

Lançado em março, o Claude Mythos é descrito pela Anthropic como seu modelo mais avançado para tarefas de raciocínio, codificação e segurança cibernética, posicionado acima de sua série Opus anterior. Testes pré-lançamento sugeriram que ele poderia identificar milhares de vulnerabilidades desconhecidas em sistemas operacionais e navegadores.

O acesso ao sistema permanece limitado por meio de uma iniciativa restrita conhecida como Project Glasswing, que permite que empresas selecionadas, incluindo Amazon, Apple e Microsoft, escaneiem softwares em busca de falhas de segurança.

Pesquisadores de segurança alertam que a mesma capacidade pode ser usada de forma ofensiva. Ferramentas de IA que podem analisar código em escala também podem automatizar a descoberta de bugs exploráveis em sistemas de software amplamente utilizados.

Testes realizados pelo Instituto de Segurança de IA do Reino Unido mostraram que o modelo poderia realizar operações cibernéticas complexas por conta própria, incluindo completar uma simulação de ataque em rede corporativa de várias etapas sem intervenção humana. Esses resultados chamaram atenção de governos e agências de inteligência.

Apesar de tensões anteriores com a administração de Donald Trump sobre o uso da tecnologia da Anthropic, a Agência de Segurança Nacional (NSA) dos EUA implantou o Claude Mythos Preview em redes classificadas, segundo pessoas familiarizadas com o assunto. A medida sinaliza um interesse crescente entre agências americanas em ferramentas de IA capazes de detectar vulnerabilidades críticas de software.

A Anthropic também reconheceu que os benchmarks atuais de segurança cibernética estão lutando para acompanhar seus modelos mais recentes, levantando questões sobre como medir o desempenho de IA nesse campo.

Mozilla afirmou que os resultados sugerem um possível ponto de virada, onde os defensores podem começar a reduzir a longa lacuna com os atacantes.

“Estamos extremamente orgulhosos de como nossa equipe enfrentou esse desafio, e outros também irão,” escreveu a empresa.

“Nosso trabalho não acabou, mas viramos a esquina e podemos vislumbrar um futuro muito melhor do que apenas acompanhar. Os defensores finalmente têm uma chance de vencer, de forma decisiva.”