Como o Mythos da Anthropic reescreveu a abordagem do Firefox à segurança cibernética

Quando a Anthropic revelou seu novo modelo Mythos em abril, ela também emitiu um aviso severo a qualquer pessoa que desenvolvesse software program. O modelo period tão poderoso para detectar vulnerabilidades de software program, o laboratório afirmouque havia descoberto milhares de bugs de alta gravidade que precisariam ser corrigidos antes que pudesse ser twister público.

Agora, os pesquisadores de segurança do navegador Firefox da Mozilla estão fornecendo uma visão mais detalhada de como é esse processo na prática e o que os poderes da Mythos significam para a segurança de software program em geral.

Em postagem publicada na quinta-feiraa Mozilla disse que o Mythos descobriu uma série de bugs de alta gravidade, incluindo alguns que permaneceram inativos no código por mais de uma década.

Isso é uma melhoria significativa em relação ao que as ferramentas de segurança de IA eram capazes de fazer há seis meses. Até agora, as ferramentas de detecção de bugs de IA apresentavam graves desvantagens, muitas vezes inundando as equipes de segurança com relatórios de baixa qualidade e falsos positivos. Mas os pesquisadores da Mozilla dizem que a última geração de ferramentas virou uma página, especialmente agora que os sistemas agentes podem avaliar seu próprio trabalho e filtrar resultados ruins.

“É difícil exagerar o quanto esta dinâmica mudou para nós em poucos meses”, escreveram os pesquisadores. “Primeiro, os modelos ficaram muito mais capazes. Em segundo lugar, melhoramos drasticamente as nossas técnicas para aproveitar esses modelos.”

Os resultados são impressionantes: em abril de 2026, o Firefox enviou 423 correções de bugs, em comparação com apenas 31 exatamente um ano antes. Os pesquisadores também publicaram detalhes sobre 12 dos bugs, que vão desde um par de vulnerabilidades incomuns de sandbox até um erro de 15 anos na forma como o navegador analisa um elemento HTML.

“Na verdade, essas coisas ficaram muito boas de repente”, disse Brian Grinstead, um renomado engenheiro da Mozilla, ao TechCrunch. “Vemos isso em nossa própria verificação interna, em relatórios de bugs externos e em todos os tipos de sinais em todo o setor.”

O fato de o sistema ter ajudado a revelar vulnerabilidades no sistema “sandbox” do Firefox é particularmente impressionante, dada a complexidade de um ataque que o explora. Para encontrar vulnerabilidades de sandbox, o modelo deve escrever um patch comprometido para o navegador e, em seguida, atacar a parte mais segura do software program com o novo código implementado. Encontrar e demonstrar o bug é um processo delicado e de várias etapas, que requer criatividade e muita atenção.

Para colocar isso em contexto, Programa de recompensas de bugs da Mozilla paga aos pesquisadores que encontrarem um bug na sandbox do Firefox até US$ 20.000 – a maior recompensa disponível. Apesar da recompensa em dólares, Grinstead diz que a Mythos está encontrando mais problemas de sandbox do que os pesquisadores humanos jamais encontraram. “Nós os conseguimos”, disse ele ao TechCrunch, “mas não no quantity que conseguimos encontrar com esta técnica”.

Notavelmente, a equipe do Firefox ainda não está usando IA para corrigir os bugs, apesar do progresso bem documentado nas ferramentas de codificação de IA. A equipe pede à IA para codificar patches para cada bug, mas o código resultante geralmente não pode ser implantado diretamente e, em vez disso, serve como modelo para um engenheiro humano.

“Para os bugs dos quais estamos falando neste submit, cada um deles é um engenheiro escrevendo um patch e um engenheiro revisando-o”, diz Grinstead. “Não descobrimos que seja automatizável.”

Ainda não está claro como as capacidades emergentes da IA ​​irão alterar o equilíbrio mais amplo de poder na segurança cibernética. Um mês desde que o Mythos foi visualizado, a maioria dos bugs descobertos provavelmente não foram corrigidos, o que torna difícil capturar todo o escopo de seu impacto. A Anthropic tem sido escrupulosa em seguir as normas de divulgação responsável, mas é provável que os malfeitores estejam usando técnicas semelhantes nos bastidores, mesmo que os modelos que usam não sejam tão bons.

Falando em um evento recenteo CEO da Anthropic, Dario Amodei, estava otimista de que as novas ferramentas acabariam por favorecer os defensores. “Se lidarmos com isso corretamente, poderemos estar em uma posição melhor do que quando começamos, porque corrigimos todos esses bugs. Existem tantos bugs para encontrar”, disse Amodei. “Então, acho que há um mundo melhor do outro lado disso.”

Depois de lidar com os detalhes, Grinstead tem uma visão mais ponderada: “É útil tanto para atacantes como para defensores, mas ter a ferramenta disponível transfere um pouco a vantagem para a defesa. Realisticamente, ninguém sabe a resposta para isto ainda.”