Claude Encontra 22 Vulnerabilidades de Segurança no Firefox
Aprofundamento CEVIU
Aprofundamento
O Claude Opus 4.6 não apenas encontrou 22 falhas no Firefox, ele as identificou em duas semanas, com 14 de alta severidade, quase um quinto do total corrigido no navegador em todo o ano de 2025. A análise cobriu cerca de 6.000 arquivos em C++, gerando relatórios completos: casos de teste mínimos, provas de conceito e até patches sugeridos. Uma falha 'Use After Free' no motor JavaScript foi detectada em vinte minutos. O custo da operação foi de US$ 4.000 em créditos de API, um valor alto para descoberta, mas baixo comparado ao tempo e risco de uma exploração humana.
Essa corrida não é só técnica: ela já está forçando mudanças reais na indústria. O projeto Curl encerrou seu programa de recompensa por bugs em janeiro de 2026 por excesso de submissões de baixa qualidade ('AI slop'). O Google reduziu recompensas no Chrome e aumentou as do Android em abril. Enquanto isso, a Anthropic lançou o Opus 4.7 com capacidades ofensivas atenuadas, e, ao mesmo tempo, iniciou o 'Project Glasswing', uma aliança com Apple, Google, Microsoft e outros para usar modelos como o Claude Mythos Preview exclusivamente em tarefas defensivas, como varreduras em sistemas críticos.
Por que isso importa
A descoberta no Firefox não é um caso isolado: o mesmo modelo já encontrou mais de 500 vulnerabilidades de alta severidade em bibliotecas de código aberto bem testadas. Isso está remodelando o ciclo de segurança de software, de meses para dias, de equipes especializadas para fluxos automatizados. Mas a velocidade gera fricção: programas de bug bounty estão sobrecarregados, governos aceleram regulação (como o Executive Order dos EUA de 2 de junho de 2026), e empresas precisam priorizar não só o que corrigir, mas *como validar* relatórios gerados por IA, porque nem todos são reproduzíveis, nem todos são exploráveis fora de ambientes controlados.
Linha do tempo
Firefox 148 lançado com correções para as 22 vulnerabilidades descobertas pelo Claude Opus 4.6
Divulgação pública dos resultados da detecção de vulnerabilidades no Firefox pelo Claude Opus 4.6
Perguntas frequentes
O Claude Opus 4.6 conseguiu explorar as falhas do Firefox?
Não de forma prática. Em testes direcionados, criou exploits funcionais em apenas dois casos, e só em ambientes sem sandbox, ou seja, sem as proteções reais do navegador. Isso mostra que a IA ainda tem limites claros na cadeia completa de exploração.
Por que o Firefox 148 foi tão relevante nessa descoberta?
Foi a versão que incorporou todas as 22 correções identificadas pelo Claude Opus 4.6, lançada no final de fevereiro de 2026. Ela resolveu falhas críticas de memória, incluindo uma 'Use After Free' no motor JavaScript detectada em menos de meia hora.
O que é 'AI slop' e por que afetou programas de bug bounty?
'AI slop' é o termo usado para descrever o volume massivo de relatórios genéricos, incompletos ou irreproduzíveis gerados por IA. O projeto Curl encerrou seu programa de recompensas em janeiro de 2026 exatamente por esse motivo, a equipe não conseguia filtrar relatórios úteis entre centenas de submissões automáticas.
Qual é a diferença entre Claude Opus 4.6 e o Claude Mythos Preview?
O Opus 4.6 foi usado para descobrir falhas no Firefox, mas sua versão sucessora, o Opus 4.7, teve funções ofensivas reduzidas. Já o Mythos Preview, modelo mais poderoso e ainda em preview, é reservado para uso defensivo em projetos como o 'Glasswing', com foco em escaneamento de infraestrutura crítica, não em exploração.
Fontes
- anthropic.comfonte original
- Categoria
- CEVIU IA
- Publicado
- 09 de março de 2026
- Editoria
- CEVIU IA
