Inteligência artificial detecta 22 vulnerabilidades no código do FIREFOX em apenas duas semanas

Em um experimento realizado entre janeiro e fevereiro de 2026, a equipe da Anthropic identificou 22 vulnerabilidades no Firefox com a ajuda do modelo de linguagem Claude Opus 4.6. Essa iniciativa fez parte de uma colaboração com a Mozilla, que tinha como objetivo testar a eficácia das ferramentas de inteligência artificial na detecção de falhas em grandes bases de código de software livre.

De acordo com o relatório da Anthropic, 14 dessas falhas foram consideradas de alta gravidade, o que poderia permitir a execução de código remoto ou o acesso indevido à memória do navegador. A maioria dessas vulnerabilidades foi corrigida na versão Firefox 148, lançada em fevereiro, enquanto as restantes devem ser abordadas na próxima atualização estável.

O teste focou inicialmente no motor JavaScript do Firefox (SpiderMonkey), uma das áreas mais críticas e complexas do navegador. Depois, a análise se expandiu para outros componentes, como manipuladores de mídia e o sistema de renderização. Os engenheiros envolvidos no projeto buscavam avaliar se a inteligência artificial poderia auxiliar nas auditorias de segurança de maneira semelhante — ou até superior — às abordagens tradicionais realizadas por humanos.

Durante duas semanas, o Claude Opus revisou milhares de arquivos e apontou trechos suspeitos com base em padrões de uso de memória, acesso a ponteiros e comportamentos inconsistentes de variáveis. A Mozilla confirmou que alguns dos alertas indicaram problemas reais, enquanto outros ajudaram a aprimorar a documentação interna do código, minimizando falsos positivos em futuras análises.

Embora o modelo tenha se mostrado eficiente na identificação de bugs, sua capacidade de criar provas de conceito (exploits) foi consideravelmente inferior. A equipe da Anthropic gastou cerca de US$ 4 mil em créditos de API na tentativa de gerar códigos que explorassem as falhas de forma controlada, mas apenas dois testes resultaram em exploits funcionais. Essa limitação destaca que, apesar dos avanços na inspeção de código por modelos de IA, a validação humana ainda é essencial para testar hipóteses práticas de ataque.

Essa iniciativa surge em um momento em que diversas empresas de tecnologia, como Google e OpenAI, estão avaliando o uso de modelos de linguagem para fortalecer a segurança. Em 2025, a Google anunciou resultados semelhantes com o projeto Chromium, onde mais de 30 bugs de alto risco foram identificados. O caso do Firefox demonstra que, mesmo em projetos já maduros e amplamente auditados, ainda existe espaço para que ferramentas automatizadas complementem o trabalho humano em segurança digital.