Quando a Anthropic apresentou seu novo modelo Mythos em abril, também emitiu um aviso severo a qualquer pessoa que estivesse desenvolvendo software. O modelo era tão poderoso para identificar vulnerabilidades de software, afirmou o laboratório, que descobriu milhares de bugs de alta gravidade que precisariam ser corrigidos antes de serem divulgados publicamente.
Agora, pesquisadores de segurança do navegador Firefox da Mozilla estão oferecendo um olhar mais atento sobre como esse processo ocorreu na prática e o que os poderes do Mythos significam para a segurança de software em geral.
Em uma postagem publicada na quinta-feira, a Mozilla disse que o Mythos desenterrou uma riqueza de bugs de alta gravidade, incluindo alguns que foram inativos no código por mais de uma década.
Isso representa uma melhoria significativa em relação ao fato de que as ferramentas de segurança de IA eram capazes há apenas seis meses. Até agora, as ferramentas de IA para encontrar bugs foram apresentadas de maneira significativa, muitas vezes inundando as equipes de segurança com relatórios de baixa qualidade e falsos positivos. Mas os pesquisadores da Mozilla dizem que a última geração de ferramentas virou página, especialmente agora que os sistemas podem avaliar seu próprio trabalho e filtrar resultados.
“É difícil exagerar o quanto essa dinâmica mudou para nós em poucos meses”, escreveram os pesquisadores. “Primeiro, os modelos ficaram muito mais capazes. Segundo, melhoramos economicamente nossas técnicas para aproveitar esses modelos.”
Os resultados são impressionantes: em abril de 2026, o Firefox invejou 423 correções de bugs, em comparação com apenas 31 exatamente um ano antes. Os pesquisadores também publicaram detalhes sobre 12 dos bugs, que variam de uma par de vulnerabilidades detectadas de sandbox a um erro de 15 anos na forma como o navegador analisa um elemento HTML.
“Essas coisas são realmente muito boas de repente”, disse Brian Grinstead, engenheiro distinto da Mozilla, ao TechCrunch. “Vemos isso em nossa própria varredura interna, vemos isso em relatórios de bugs externos e vemos isso em todos os tipos de sinais em toda a indústria.”
O fato de o sistema ter ajudado a revelar vulnerabilidades no sistema “sandbox” do Firefox é particularmente impressionante, dada a complexidade de um ataque que o explora. Para encontrar vulnerabilidades de sandbox, o modelo deve escrever um patch comprometido para o navegador e, em seguida, atacar a parte mais segura do software com o novo código desenvolvido. Encontrar e demonstrar o bug é um processo delicado e multifacetado, que exige criatividade e atenção minuciosa.
Para contextualizar, o programa de recompensa por bugs da Mozilla paga aos pesquisadores que conseguem encontrar um bug no sandbox do Firefox até US$ 20.000 — a maior recompensa disponível. Apesar da recompensa de alto valor, no entanto, Grinstead diz que o Mythos está encontrando mais problemas de sandbox do que os pesquisadores jamais fizeram. “Nós os recebemos”, disse ele ao TechCrunch, “mas não no volume que conseguimos encontrar com essa técnica.”
Notavelmente, a equipe do Firefox ainda não está usando IA para corrigir os bugs, apesar do progresso bem documentado em ferramentas de alterações de IA. A equipe pede à IA para codificar patches para cada bug, mas o código resultante geralmente não pode ser implantado diretamente e, em vez disso, servir como um modelo para um engenheiro humano.
“Para os bugs sobre os quais estamos falando nesta postagem, cada um deles é um engenheiro escrevendo um patch e um engenheiro revisando”, diz Grinstead. “Não achamos que seja automatizável.”
Ainda não está claro como as capacidades emergentes da IA mudarão o equilíbrio de poder mais amplo na cibersegurança. Um mês após a prévia do Mythos, a maioria dos bugs descobertos provavelmente não foram corrigidos, o que dificulta a captura do escopo total de seu impacto. A Anthropic tem sido escrupulosa em seguir as normas de divulgação responsável, mas é provável que atores mal-intencionados usem técnicas semelhantes nos bastidores, mesmo que os modelos que eles usam não sejam tão bons.
Falando em um evento recente, o CEO da Anthropic, Dario Amodei, estava otimista de que as novas ferramentas acabariam favorecendo os defensores. “Se lidarmos com isso corretamente, podemos estar em uma posição melhor do que começamos, porque corrigimos todos esses bugs. Há apenas tantos bugs para encontrar”, disse Amodei. “Então, acho que há um mundo melhor do outro lado disso.”
Tendo lidado com os detalhes mais complexos, Grinstead tem uma visão mais ponderada: “É útil tanto para atacantes quanto para defensores, mas ter uma ferramenta disponível muda um pouco a vantagem para a defesa. Realisticamente, ninguém sabe a resposta para isso ainda.”
Fonte: Techcrunch
