A Mozilla, desenvolvedora do Firefox, revelou que uma versão inicial do Claude Mythos AI da Anthropic identificou 271 vulnerabilidades no navegador Firefox durante testes internos, todas elas corrigidas esta semana.
As descobertas apontam para como os sistemas avançados de IA estão começando a escanear grandes bases de código em uma escala que antes dependia de longas horas de trabalho manual de pesquisadores de segurança cibernética. A Mozilla afirmou que mesmo alvos de software fortificados poderiam agora ser examinados mais profundamente em um tempo menor.
“À medida que essas capacidades chegam às mãos de mais defensores, muitas outras equipes estão agora experimentando a mesma vertigem que nós sentimos quando as descobertas vieram à tona”, escreveu a Mozilla. “Para um alvo fortificado, apenas um desses bugs seria um alerta vermelho em 2025, e tantos de uma vez nos fazem parar para pensar se é sequer possível acompanhar.”
Testes anteriores usando outro modelo da Anthropic haviam descoberto 22 bugs sensíveis à segurança em uma versão anterior do Firefox. Apesar desse progresso, a Mozilla observou que eliminar explorações de software por completo há muito tempo é considerado irrealista.
“Até agora, a indústria tem travado uma batalha de segurança que resultou em um empate”, escreveu a empresa. “Fornecedores de software crítico exposto à internet, como o Firefox, levam a segurança extremamente a sério e têm equipes de pessoas que se levantam todas as manhãs pensando em como manter os usuários seguros.”
A Mozilla disse que o novo sistema pode revisar o código-fonte e sinalizar fraquezas de maneiras que antes exigiam alta especialização humana. Os resultados internos mostraram que o modelo não descobriu bugs além do alcance de pesquisadores de primeira linha.
“Alguns comentaristas preveem que futuros modelos de IA desenterrarão formas inteiramente novas de vulnerabilidades que desafiam nossa compreensão atual, mas não achamos que seja o caso”, disse a empresa. “Softwares como o Firefox são projetados de forma modular para que os humanos possam raciocinar sobre sua correção. É complexo, mas não arbitrariamente complexo.”
Lançado em março, o Claude Mythos é descrito pela Anthropic como seu modelo mais avançado para raciocínio, codificação e tarefas de segurança cibernética, posicionado acima de sua série Opus anterior. Testes de pré-lançamento sugeriram que ele poderia identificar milhares de vulnerabilidades desconhecidas em sistemas operacionais e navegadores.
O acesso ao sistema permanece limitado por meio de uma iniciativa restrita conhecida como Project Glasswing, que permite que empresas selecionadas, incluindo Amazon, Apple e Microsoft, escaneiem softwares em busca de falhas de segurança.
Pesquisadores de segurança alertam que a mesma capacidade poderia ser usada ofensivamente. Ferramentas de IA que podem analisar código em escala também podem automatizar a descoberta de bugs exploráveis em sistemas de software amplamente utilizados.
Testes realizados pelo AI Security Institute do Reino Unido mostraram que o modelo poderia realizar operações cibernéticas complexas por conta própria, incluindo a conclusão de uma simulação de ataque de rede corporativa em várias etapas sem intervenção humana. Esses resultados chamaram a atenção de governos e agências de inteligência.
Apesar de tensões anteriores com a administração de Donald Trump sobre o uso da tecnologia da Anthropic, a Agência de Segurança Nacional (NSA) implantou o Claude Mythos Preview em redes classificadas, de acordo com pessoas familiarizadas com o assunto. A medida sinaliza o crescente interesse entre as agências dos EUA em ferramentas de IA que podem detectar vulnerabilidades críticas de software.
A Anthropic também reconheceu que os benchmarks atuais de segurança cibernética estão lutando para acompanhar seus modelos mais recentes, levantando questões sobre como medir o desempenho da IA nesse campo.
A Mozilla disse que os resultados sugerem um possível ponto de virada, onde os defensores podem começar a diminuir a lacuna de longa data com os atacantes.
“Estamos extremamente orgulhosos de como nossa equipe superou esse desafio, e outros também o farão”, escreveu a empresa.
“Nosso trabalho não terminou, mas viramos a esquina e podemos vislumbrar um futuro muito melhor do que apenas conseguir acompanhar. Os defensores finalmente têm a chance de vencer, decisivamente.”
