Na última sexta-feira, a Anthropic anunciou a descoberta de 22 novas vulnerabilidades de segurança no navegador Firefox, resultado de uma parceria com a Mozilla focada em segurança.
Entre essas falhas, 14 foram classificadas como de alta gravidade, sete como moderadas e uma de baixa severidade.
Todas foram corrigidas na versão 148 do Firefox, lançada no final do mês passado.
As vulnerabilidades foram identificadas durante um período de duas semanas, em janeiro de 2026.
A empresa de inteligência artificial revelou que as falhas críticas encontradas por seu modelo de linguagem avançado Claude Opus 4.6 correspondem a quase um quinto de todas as vulnerabilidades de alta gravidade corrigidas no Firefox em 2025.
Um dos bugs detectados foi um use-after-free no JavaScript do navegador, identificado após apenas 20 minutos de análise pelo modelo e posteriormente confirmado por um pesquisador humano em ambiente virtualizado, eliminando falsos positivos.
Segundo a Anthropic, o processo envolveu a varredura de cerca de 6.000 arquivos em C++, resultando em 112 relatórios únicos, incluindo as falhas de alta e média gravidade mencionadas.
A maior parte dessas vulnerabilidades foi sanada na versão 148, e as restantes serão corrigidas em atualizações futuras.
Além da detecção, a Anthropic usou o Claude Opus 4.6 para tentar desenvolver exploits práticos a partir da lista completa de vulnerabilidades enviadas à Mozilla.
Mesmo realizando centenas de testes e consumindo cerca de US$ 4 mil em créditos de API, o modelo conseguiu transformar as falhas em exploits apenas em duas ocasiões.
Isso evidencia que identificar vulnerabilidades é mais acessível do que criar um exploit funcional, e que o modelo tem melhor desempenho na detecção do que na exploração das falhas.
Ainda assim, a empresa ressalta que o fato de Claude conseguir gerar exploits básicos automaticamente, mesmo que em poucos casos, é motivo de preocupação.
Esses exploits só funcionaram dentro do ambiente de testes controlado, que tinha algumas proteções, como sandboxing, desativadas intencionalmente para viabilizar as análises.
Um elemento crucial no processo foi um verificador de tarefas responsável por validar se o exploit funcionava efetivamente, fornecendo feedback em tempo real para que o modelo iterasse e aprimorasse os resultados até conseguir um exploit viável.
Um exemplo foi o exploit desenvolvido para a vulnerabilidade
CVE-2026-2796
(CVSS 9,8), relacionada a um erro de compilação just-in-time (JIT) no módulo WebAssembly do JavaScript.
Esta divulgação ocorre semanas após a Anthropic lançar o Claude Code Security, ferramenta em fase de testes que usa agentes de IA para corrigir vulnerabilidades automaticamente.
A empresa alerta, porém, que nem todos os patches gerados automaticamente são imediatamente adequados para implementação, mas o uso dos verificadores de tarefas aumenta a confiança de que o patch corrige a falha sem comprometer a funcionalidade do programa — o mínimo esperado para uma correção eficaz.
A Mozilla, em comunicado conjunto, destacou que a abordagem assistida por IA identificou outras 90 falhas, a maioria já corrigida.
Essas vulnerabilidades incluíam falhas de asserção e diferentes tipos de erros lógicos que métodos tradicionais, como fuzzing, não tinham detectado.
“A escala dos achados mostra o poder de combinar engenharia rigorosa com novas ferramentas de análise para aprimoramento contínuo”, afirmou a Mozilla.
“Encaramos essa integração de análises assistidas por IA em larga escala como uma importante novidade para o arsenal dos engenheiros de segurança.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...