A Mozilla corrigiu 22 falhas críticas de segurança no navegador Mozilla Firefox com auxílio de um modelo de inteligência artificial desenvolvido pela Anthropic. As vulnerabilidades foram identificadas durante um teste conjunto entre engenheiros da empresa e pesquisadores de segurança, utilizando o modelo Claude.
De acordo com a organização, o experimento utilizou a versão Claude Opus 4.6 para analisar partes do código do navegador em busca de falhas. Em cerca de duas semanas de testes, a equipe enviou 112 relatórios de bugs. Desse total, 14 foram classificados como de alta gravidade e 22 identificados como vulnerabilidades de segurança. Outros casos apontaram problemas como travamentos ou erros de lógica que poderiam comprometer a estabilidade do navegador.
As correções foram incorporadas ao Firefox 148, versão liberada em fevereiro.
Durante o experimento, pesquisadores do grupo Frontier Red Team da Anthropic analisaram trechos do código do navegador para verificar se o modelo de IA conseguiria reconhecer padrões semelhantes aos de vulnerabilidades já conhecidas em versões antigas do software.
Após essa etapa, o sistema passou a buscar falhas inéditas na versão atual do navegador, começando pelo mecanismo JavaScript, considerado um dos componentes mais críticos por executar códigos durante a navegação na internet.
Entre os problemas identificados, o modelo detectou uma falha do tipo use-after-free, relacionada ao gerenciamento de memória. O erro foi reproduzido em ambiente de testes e registrado no sistema Bugzilla, plataforma usada para reportar problemas no desenvolvimento de softwares. As descobertas foram posteriormente validadas por engenheiros da Mozilla.
Apesar da eficiência na identificação de vulnerabilidades, os testes indicaram que a IA ainda encontra dificuldades para transformar essas falhas em ataques reais. Pesquisadores pediram ao modelo que criasse códigos capazes de explorar os problemas detectados. Após centenas de tentativas, apenas dois exploits funcionais foram produzidos — e ainda assim em ambientes de teste com proteções reduzidas.
Ao site Axios, o engenheiro sênior da Mozilla, Brian Grinstead, afirmou que a presença de uma única falha grave não é suficiente para comprometer o navegador, já que ataques reais geralmente exigem a combinação de múltiplas vulnerabilidades.
