A empresa de inteligência artificial Anthropic anunciou a descoberta de 22 novas vulnerabilidades de segurança no navegador Mozilla Firefox durante uma colaboração técnica com a Mozilla. As falhas foram detectadas com o auxílio do modelo de IA Claude Opus 4.6, evidenciando o avanço do uso da inteligência artificial na análise de código e na identificação de problemas de segurança.
Segundo a empresa, 14 vulnerabilidades foram classificadas como críticas, sete receberam classificação moderada e uma foi considerada de baixo impacto. Todas já foram corrigidas ou mitigadas na versão Firefox 148, lançada no final do mês passado. As falhas foram descobertas em um período relativamente curto: duas semanas de análise realizadas em janeiro de 2026.
Entre os casos mais importantes identificados pela IA está um erro do tipo use-after-free no motor JavaScript do navegador. Esse tipo de falha ocorre quando um software continua acessando uma região de memória que já foi liberada, o que pode abrir espaço para a execução de código malicioso.
De acordo com a Anthropic, o modelo Claude Opus 4.6 levou cerca de 20 minutos para identificar essa vulnerabilidade específica. Posteriormente, um pesquisador humano confirmou o problema em um ambiente virtualizado, garantindo que não se tratava de um falso positivo.
Durante o experimento, a IA analisou aproximadamente 6 mil arquivos escritos em C++, gerando 112 relatórios únicos de possíveis problemas de segurança. Parte desses relatórios corresponde às falhas classificadas como críticas e moderadas. A maioria já foi corrigida na versão mais recente do navegador, enquanto algumas correções devem aparecer em atualizações futuras.
Como parte dos testes, a Anthropic decidiu ir além e forneceu ao modelo de IA uma lista completa de vulnerabilidades reportadas à Mozilla. Em seguida, pediu que o sistema tentasse desenvolver exploits funcionais capazes de explorar essas falhas.
Mesmo após centenas de tentativas e um investimento aproximado de US$ 4 mil em créditos de API, a IA conseguiu gerar exploits funcionais em apenas dois casos.
Esse resultado levou a duas conclusões principais. A primeira é que identificar vulnerabilidades pode ser muito mais simples e barato do que criar exploits funcionais para explorá-las. A segunda é que, atualmente, os modelos de IA demonstram maior eficiência na descoberta de falhas do que na exploração ativa dessas vulnerabilidades.
Apesar disso, a Anthropic destacou que o fato de a IA ter conseguido gerar exploits automaticamente — mesmo que em poucos casos — representa um sinal de alerta para a comunidade de segurança cibernética. Nos testes realizados, os exploits só funcionaram em ambientes controlados onde algumas proteções, como o sandboxing, foram removidas propositalmente.
Um dos exploits criados pelo modelo explorava a vulnerabilidade CVE-2026-2796, que recebeu pontuação CVSS 9.8, considerada extremamente crítica. A falha está relacionada a um erro de compilação Just-in-Time (JIT) no componente WebAssembly JavaScript do navegador.
Durante a pesquisa também foi utilizado um sistema chamado task verifier, responsável por validar automaticamente se um exploit ou correção gerado pela IA realmente funciona. Esse mecanismo fornece feedback contínuo ao modelo, permitindo que ele refine suas tentativas até chegar a uma solução funcional.
A revelação surge poucas semanas após o lançamento experimental do Claude Code Security, iniciativa da Anthropic voltada ao uso de agentes de IA para detectar e corrigir vulnerabilidades em softwares.
Em comunicado conjunto, a Mozilla informou que o uso de ferramentas baseadas em inteligência artificial já ajudou a descobrir cerca de 90 outras falhas no Firefox. Muitas dessas vulnerabilidades eram erros de lógica ou falhas de verificação, problemas que normalmente podem ser identificados por técnicas como fuzzing, mas que nem sempre são detectados por ferramentas tradicionais.
Segundo a organização, os resultados demonstram que a combinação entre engenharia de software rigorosa e inteligência artificial representa um avanço significativo na análise de segurança em larga escala. Para a Mozilla, esse tipo de abordagem tende a se tornar uma ferramenta essencial para engenheiros de segurança no futuro.
