O lançamento do Firefox 150 chamou a atenção por um número que, mesmo para padrões atuais, é difícil de ignorar: 271 vulnerabilidades corrigidas em uma única versão. Em um primeiro momento, isso pode soar alarmante, mas o contexto muda completamente a leitura desse dado.
Segundo a Mozilla, boa parte dessas falhas foi identificada com o auxílio de uma versão preliminar do modelo de inteligência artificial Claude Mythos, desenvolvido pela Anthropic. Esse detalhe muda completamente o peso do anúncio, sendo um indicativo de transformação na forma como software crítico é auditado.
Project Glasswing e a nova abordagem de segurança
O uso do Claude Mythos faz parte de uma iniciativa maior chamada Project Glasswing, que reúne empresas e organizações em torno de um objetivo específico: usar modelos de IA avançados como ferramentas de auditoria de código em larga escala.
Em vez de depender exclusivamente de pesquisadores humanos e ferramentas tradicionais, como fuzzers, esses modelos analisam o código buscando padrões suspeitos, inconsistências lógicas e possíveis vetores de ataque.
No caso do Firefox, isso foi aplicado a um código que já passou por anos de testes, revisões e melhorias contínuas. Ainda assim, o modelo conseguiu identificar centenas de pontos problemáticos. Isso sugere que, mesmo em softwares altamente maduros, ainda existe uma quantidade significativa de vulnerabilidades latentes que podem ser exploradas mais rapidamente quando novas ferramentas entram em cena.
O fim da vantagem dos atacantes?
Historicamente, a segurança de software sempre foi um jogo assimétrico. Quem defende precisa cobrir todas as possibilidades, enquanto quem ataca precisa encontrar apenas uma falha.
Ferramentas como fuzzing ajudam a reduzir essa desigualdade ao automatizar testes em larga escala, mas ainda possuem limitações, especialmente em áreas mais complexas do código. Já modelos como o Claude Mythos conseguem atuar de forma diferente: analisando a lógica, o contexto e o fluxo de execução de maneira mais próxima do raciocínio humano.
Segundo a Mozilla, o desempenho do modelo se aproxima do trabalho de pesquisadores de elite. Isso não significa que ele seja “melhor” que humanos, mas sim que pode multiplicar a capacidade das equipes existentes.
Se essa tendência continuar, a consequência natural é uma mudança no equilíbrio do jogo. Ao reduzir o custo de encontrar vulnerabilidades, ferramentas como essa podem enfraquecer a vantagem histórica dos atacantes, tornando a descoberta de falhas algo mais acessível também para quem está defendendo.
Apesar do impacto, a própria Mozilla adota um tom bem mais cauteloso do que o discurso comum em torno de IA. Um dos pontos mais importantes levantados pela empresa é que nenhuma das falhas encontradas pelo Mythos era impossível de ser descoberta por humanos.
Em outras palavras, o modelo não revelou uma nova categoria de vulnerabilidades nem trouxe algo fora do entendimento atual da engenharia de software. Ele apenas acelerou um processo que já existia.
Esse posicionamento é importante porque ajuda a separar expectativa de realidade. Existe um certo medo de que essas ferramentas possam descobrir falhas “incompreensíveis” ou criar um cenário incontrolável. Até agora, pelo menos, não é isso que está acontecendo.
Ao mesmo tempo, também há críticas dentro da comunidade. Parte dos especialistas questiona o nível de hype em torno desses modelos, apontando que números agregados de vulnerabilidades nem sempre refletem impacto real, severidade ou novidade técnica.
Limitações e riscos
Outro ponto que merece atenção é o controle dessas tecnologias. A Anthropic optou por manter o Claude Mythos em acesso restrito, justamente por receio de uso indevido. Ainda assim, relatos indicam que versões do modelo podem ter sido acessadas sem autorização, o que levanta dúvidas sobre a viabilidade de manter esse tipo de sistema sob controle.
Isso reforça uma dinâmica já conhecida na segurança digital: qualquer ferramenta poderosa eventualmente se espalha. O que hoje está nas mãos de algumas empresas pode, em pouco tempo, estar disponível de forma mais ampla, seja oficialmente ou não.
Além disso, modelos de IA ainda dependem de validação humana. Eles podem apontar problemas, mas interpretar corretamente esses resultados, priorizar correções e evitar falsos positivos continua sendo responsabilidade das equipes de engenharia.
Um caminho inevitável para o desenvolvimento moderno
Mesmo com limitações e controvérsias, o uso de IA para auditoria de segurança parece um dos caminhos mais naturais e menos problemáticos para essa tecnologia. Diferente de aplicações mais sensíveis, como geração automática de exploits, a análise defensiva tende a trazer benefícios diretos sem aumentar riscos de forma desproporcional.
O próprio ecossistema open source já está se adaptando. O kernel Linux, por exemplo, passou recentemente a incluir diretrizes para o uso de assistentes de IA no desenvolvimento, estabelecendo limites para evitar problemas de qualidade e segurança.
Fique por dentro das principais novidades da semana, inclusive algumas que você não encontra por aqui, recebendo nossa newsletter em sua caixa de entrada!