A Mozilla Foundation informou na terça-feira, 22 de abril de 2026, que testou o modelo de inteligência artificial Mythos, da Anthropic, para localizar vulnerabilidades no Firefox e identificou 271 falhas no Firefox 150. Segundo a organização, o resultado foi visto ao mesmo tempo como alarmante e promissor para as equipes de segurança, por ampliar a capacidade de detectar erros que antes dependiam fortemente de especialistas humanos. De acordo com informações do The Register, a avaliação foi comentada publicamente pelo diretor de tecnologia da Mozilla, Bobby Holley.
A Mozilla também relembrou que havia usado o modelo Opus 4.6, da Anthropic, para procurar bugs no Firefox 148, quando encontrou 22 falhas. No teste mais recente, com o Mythos no Firefox 150, o volume de vulnerabilidades detectadas foi muito maior. Holley afirmou que a equipe sentiu uma espécie de “vertigem” diante da necessidade de corrigir tantos problemas de uma só vez, embora tenha descrito o cenário como um ponto de inflexão para defensores de software.
Por que a Mozilla considera o resultado um marco para a segurança?
Na avaliação de Bobby Holley, a descoberta em larga escala indica que ferramentas automatizadas baseadas em IA estão se aproximando da capacidade analítica de pesquisadores de elite em segurança. Ele afirmou que, até então, o setor vinha travando uma disputa equilibrada contra vulnerabilidades, sem conseguir eliminá-las por completo, mas tentando elevar o custo de exploração para dificultar ataques.
“Defenders finally have a chance to win, decisively.”
— Publicidade —Google AdSense • Slot in-article
Segundo Holley, o Mythos altera esse quadro por avançar além das ferramentas de fuzzing já usadas pela Mozilla para encontrar bugs sem intervenção humana direta. Na visão do executivo, pesquisadores altamente especializados costumam localizar falhas ao raciocinar sobre o código-fonte, um processo eficaz, mas lento e limitado pela escassez de profissionais com esse nível de experiência.
O que a Mozilla disse sobre a capacidade da IA em relação aos humanos?
Holley sustentou que computadores não conseguiam executar esse tipo de análise poucos meses antes, mas que agora passaram a fazê-lo com alto desempenho. Ele declarou que, com base na experiência da Mozilla examinando o trabalho de pesquisadores de segurança de ponta, o Mythos Preview se mostrou tão capaz quanto esses especialistas.
“Encouragingly, we also haven’t seen any bugs that couldn’t have been found by an elite human researcher.”
Esse ponto é central no argumento apresentado pelo diretor de tecnologia. Para ele, embora a evolução da IA possa parecer inquietante no curto prazo, ela tende a favorecer defensores porque reduz a vantagem de atacantes que antes podiam concentrar meses de trabalho humano caro para descobrir uma única vulnerabilidade.
Na prática, a posição da Mozilla é a de que não houve, até agora, identificação de uma categoria de falha inacessível ao entendimento humano. Holley também rejeitou a ideia de que futuros modelos necessariamente descobrirão formas totalmente novas de vulnerabilidades, fora da compreensão atual de especialistas.
Por que a Mozilla não espera falhas “incompreensíveis” descobertas por IA?
De acordo com o executivo, softwares como o Firefox são projetados de forma modular justamente para que humanos consigam raciocinar sobre sua correção. Ainda que sejam complexos, eles não seriam arbitrariamente complexos. Por isso, na visão dele, os defeitos são finitos e o avanço dessas ferramentas pode aproximar o setor de um cenário em que seja possível localizar todas as falhas conhecidas desse tipo.
O relato da Mozilla, conforme reproduzido pelo The Register, destaca três pontos principais sobre o uso do Mythos:
- o Firefox 148 teve 22 bugs localizados com o modelo Opus 4.6;
- o Firefox 150 teve 271 vulnerabilidades encontradas com o Mythos;
- a Mozilla afirma não ter visto falhas que não pudessem ser encontradas por um pesquisador humano de elite.
Com isso, a discussão levantada pela empresa não é a de uma substituição simples de especialistas por máquinas, mas de uma mudança no equilíbrio entre ofensiva e defesa em segurança digital. Se a capacidade de encontrar erros se tornar mais barata e mais ampla para quem desenvolve e protege software, a expectativa da Mozilla é de que a correção de vulnerabilidades possa ganhar escala maior do que a exploração dessas mesmas brechas.
