Tecnologia

Mozilla encontra 271 falhas de segurança com nova IA da Anthropic

Mozilla descobre 271 vulnerabilidades no Firefox usando IA com quase nenhum falso positivo. Saiba como o novo agente harness muda a segurança cibernética.

Por Dr. Paulo Budri 3 min de leitura
Interface do navegador Firefox mostrando código de programação em segundo plano com símbolos de segurança digital
Interface do navegador Firefox mostrando código de programação em segundo plano com símbolos de segurança digital

A Mozilla confia em um novo método de detecção de vulnerabilidades que combina inteligência artificial com ferramentas customizadas. Engenheiros da empresa responsável pelo Firefox apresentaram resultados que desafiam o ceticismo em torno das promessas de IA para segurança cibernética.

Em dois meses, modelos de IA da Anthropic, chamados Mythos, identificaram 271 falhas de segurança no código do Firefox. O que diferencia este trabalho das tentativas anteriores fracassadas é simples: a Mozilla desenvolveu uma estrutura personalizada, chamada de agente harness, que guia a inteligência artificial através de tarefas específicas e validações rigorosas.

Como a IA aprendeu a encontrar bugs de verdade?

Tentativas anteriores de usar IA para detectar vulnerabilidades fracassaram de forma espetacular. Os modelos geravam relatórios de bugs que pareciam plausíveis, mas continham alucinações em larga escala. Desenvolvedores humanos desperdiçavam semanas investigando vulnerabilidades fictícias.

A diferença agora está na automação inteligente. O agente harness funciona como um intermediário entre o modelo de IA e o código. Ele dá instruções claras ao modelo, fornece ferramentas para ler e escrever arquivos, executa testes de validação, e rejeita automaticamente as falsas conclusões que não passam nas verificações.

Brian Grinstead, engenheiro sênior da Mozilla, explicou o conceito em entrevista: a estrutura basicamente “guia o modelo para cumprir um objetivo”. Ele não apenas diz ao modelo “encontre um bug neste arquivo”, mas depois valida cada descoberta contra o código real, evitando o ruído que caracterizou os primeiros experimentos.

Quase nenhum falso positivo: o que muda?

Os números desmentem o ceticismo justificado. As 271 vulnerabilidades encontradas registraram “quase nenhum falso positivo”, segundo os engenheiros da Mozilla. Essa precisão inverte a frustração dos anos anteriores, quando a maioria das descobertas era lixo digital.

O resultado depende de dois fatores convergentes. Primeiro, os próprios modelos de IA melhoraram significativamente em capacidade de análise de código. Segundo, e talvez mais importante, a customização da ferramenta para o contexto específico do Firefox tornou possível filtrar automaticamente conclusões erradas.

Segurança contra a realidade das promessas de IA

O ceticismo inicial era fundado. O chefe de tecnologia da Mozilla havia afirmado que vulnerabilidades de zero-day estavam “contadas”, que “defensores finalmente têm uma chance de vencer, decisivamente”. Essas declarações ecoavam o padrão recorrente: escolha alguns resultados impressionantes, esconda as limitações, deixe a hype crescer.

Desta vez, a Mozilla agiu diferente. Em vez de apenas anunciar números, a empresa publicou detalhes sobre como a ferramenta funciona, reconhecendo explicitamente os fracassos do passado e explicando o que mudou. Os engenheiros não evitaram mencionar o “lixo indesejado” que caracterizou as primeiras abordagens.

A escala de customização necessária para que o agente harness funcione sugere por que esse tipo de sucesso não se generaliza facilmente. Cada projeto de software exigiria uma estrutura similar, desenvolvida especificamente para suas semânticas, ferramentas e processos únicos. Não é plug-and-play.

O que isso significa para a segurança futura?

Se esses resultados se mantiverem em escala, a detecção de vulnerabilidades poderia mudar. Menos bugs escapariam para produção. Desenvolvedoras e desenvolvedores gastariam menos tempo investigando falsos alarmes. A janela entre a descoberta de uma falha e seu exploit diminuiria.

Mas a realidade permanece: esse é um resultado específico de um projeto específico com recursos específicos dedicados. A Mozilla tem engenheiros altamente qualificados, acesso a ferramentas sofisticadas e o orçamento para construir estruturas customizadas. Nem toda equipe de desenvolvimento tem esses privilégios.

A pergunta que permanece é se outras organizações conseguirão replicar esse sucesso, ou se a precisão será considerada uma anomalia da Mozilla.

Foto: Julio Lopez no Pexels

Matéria original: https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/

Compartilhe

Leia também

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.