Em resumo
- A Mozilla diz que Claude Mythos, da Anthropic, identificou 271 vulnerabilidades no Firefox durante os testes.
- A Anthropic está restringindo o modelo a parceiros avaliados por meio do Projeto Glasswing devido aos riscos de segurança cibernética.
- Os investigadores alertam que a mesma capacidade pode acelerar ataques cibernéticos automatizados.
Durante décadas, os invasores tiveram vantagem na segurança cibernética. A inteligência artificial pode estar prestes a mudar isso.
Em um postagem no blog publicado na terça-feira, o desenvolvedor do navegador Firefox, Mozilla, disse que uma versão inicial do modelo Claude Mythos AI da Anthropic – que chamou a atenção nas últimas semanas por suas supostas proezas em segurança cibernética – ajudou a identificar 271 vulnerabilidades no navegador durante testes internos. Esses bugs foram corrigidos esta semana.
Os resultados destacam como os sistemas avançados de IA podem analisar grandes bases de código e localizar pontos fracos que anteriormente exigiam uma extensa revisão manual por pesquisadores humanos de segurança cibernética.
“À medida que essas capacidades chegam às mãos de mais defensores, muitas outras equipes estão experimentando a mesma vertigem que sentimos quando as descobertas entraram em foco”, escreveu Mozilla. “Para um alvo endurecido, apenas um desses bugs teria estado em alerta vermelho em 2025, e tantos ao mesmo tempo fazem você parar para se perguntar se é mesmo possível acompanhá-lo.”
A Mozilla já havia testado outro modelo Antrópico que identificou 22 bugs sensíveis à segurança em uma versão anterior do Firefox. Apesar destes sucessos, a Mozilla reconheceu que a indústria de segurança cibernética há muito trata a eliminação completa das explorações de software como um “objetivo irrealista”.
“Até agora, a indústria em grande parte lutou contra a segurança até o empate”, escreveu a empresa. “Os fornecedores de softwares críticos expostos à Internet, como o Firefox, levam a segurança muito a sério e têm equipes que levantam da cama todas as manhãs pensando em como manter os usuários seguros.”
A Mozilla disse que o novo sistema de IA pode analisar o código-fonte e identificar vulnerabilidades de maneiras que antes dependiam da escassa experiência humana. No entanto, a Mozilla disse que a empresa foi encorajada ao ver que nenhum bug foi encontrado que não pudesse ter sido descoberto por “um pesquisador humano de elite”.
“Alguns comentadores prevêem que os futuros modelos de IA irão descobrir formas inteiramente novas de vulnerabilidades que desafiam a nossa compreensão atual, mas não pensamos assim”, disseram. “Softwares como o Firefox são projetados de forma modular para que os humanos possam raciocinar sobre sua correção. É complexo, mas não arbitrariamente complexo.”
Os resultados, no entanto, sugerem que as ferramentas de IA podem permitir aos programadores descobrir um grande número de vulnerabilidades antes que os atacantes as explorem – embora, por outro lado, nas mãos erradas, possam significar grandes problemas tanto para as empresas de software como para os utilizadores.
Lançado em março, Mythos é o produto mais avançado modelo para tarefas de raciocínio, codificação e segurança cibernética. Os materiais internos da empresa descrevem o sistema como parte de um novo nível de modelo além da série Opus anterior da empresa.
Os testes realizados antes do lançamento do modelo mostraram que ele poderia identificar milhares de vulnerabilidades anteriormente desconhecidas nos principais sistemas operacionais e navegadores da web.
A Anthropic limitou o acesso ao sistema por meio de um programa restrito chamado Projeto Glasswingque dá a empresas de tecnologia selecionadas – incluindo Amazon, Apple e Microsoft – a capacidade de usar o modelo para verificar se há pontos fracos no software. Reflete um esforço crescente dentro da indústria de segurança cibernética para usar sistemas de IA para identificar e corrigir vulnerabilidades antes que os invasores possam explorá-las.
No entanto, a mesma tecnologia também poderá permitir novas formas de ataques cibernéticos. Pesquisadores de segurança dizem que sistemas de IA capazes de analisar códigos em escala poderiam automatizar a descoberta de vulnerabilidades exploráveis em softwares amplamente utilizados.
Após o lançamento do Mythos, testes realizados pelo AI Security Institute do Reino Unido descobriram que a IA poderia executar complexo de forma autônoma operações cibernéticas, incluindo a conclusão de uma simulação de ataque à rede corporativa em vários estágios sem assistência humana. Essas capacidades atraíram a atenção tanto dos governos como das agências de inteligência.
Apesar de um apelo da administração do presidente Donald Trump para parar usando a tecnologia da Antrópica devido a um conflito sobre seu uso em questões de guerra e vigilância, na segunda-feira, a Agência de Segurança Nacional foi revelado estar executando o Claude Mythos Preview em redes confidenciais, de acordo com fontes familiarizadas com a implantação. O uso do Mythos ressalta o interesse crescente entre as agências de segurança dos EUA na capacidade do modelo de identificar vulnerabilidades críticas de software.
O desempenho do modelo também expôs limites nos sistemas de avaliação de IA existentes. No início deste mês, a Antrópica reconhecido que vários parâmetros de referência de segurança cibernética já não são suficientes para medir as capacidades dos seus modelos mais recentes.
A Mozilla disse que os resultados apontam para uma mudança potencial na segurança cibernética, onde os defensores podem começar a diminuir a vantagem de longa data que os invasores detinham.
“Estamos extremamente orgulhosos de como nossa equipe se preparou para enfrentar esse desafio, e outros também”, escreveu Mozilla. “Nosso trabalho não terminou, mas dobramos a esquina e podemos vislumbrar um futuro muito melhor do que apenas acompanhar. Os defensores finalmente têm a chance de vencer, de forma decisiva.”
A Mozilla não respondeu imediatamente a um pedido de comentário de Descriptografar.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
