A empresa de inteligência artificial Anthropic revelou ter identificado 22 novas vulnerabilidades de segurança no navegador Mozilla Firefox durante uma colaboração com a Mozilla. As falhas foram descobertas com o apoio do modelo de IA Claude Opus 4.6, demonstrando o potencial crescente da inteligência artificial na análise de código e na identificação de vulnerabilidades.

De acordo com a empresa, 14 vulnerabilidades foram classificadas como críticas, sete como moderadas e uma como de baixo impacto. Todas foram corrigidas ou mitigadas na versão Firefox 148, lançada no final do mês passado. As falhas foram encontradas em um período relativamente curto: apenas duas semanas de análise realizadas em janeiro de 2026.

Um dos casos mais relevantes identificados pela IA foi um erro do tipo use-after-free no mecanismo JavaScript do navegador. Esse tipo de falha ocorre quando um programa continua acessando uma área de memória que já foi liberada, o que pode permitir a execução de código malicioso. Curiosamente, o modelo Claude Opus 4.6 levou cerca de 20 minutos para localizar a vulnerabilidade, que posteriormente foi confirmada por um pesquisador humano em um ambiente virtualizado para descartar falsos positivos.

Durante o experimento, a inteligência artificial analisou aproximadamente 6.000 arquivos em C++, resultando em 112 relatórios únicos de possíveis problemas de segurança. Parte dessas falhas corresponde às vulnerabilidades de alta e média gravidade mencionadas anteriormente. Segundo a Anthropic, a maioria já foi corrigida na versão mais recente do navegador, enquanto algumas devem ser resolvidas em atualizações futuras.

A empresa também decidiu realizar um teste adicional: fornecer ao modelo de IA acesso à lista completa de vulnerabilidades relatadas à Mozilla e solicitar que ele tentasse desenvolver exploits funcionais para explorar essas falhas. Mesmo após centenas de tentativas e um investimento de cerca de US$ 4.000 em créditos de API, o modelo conseguiu criar um exploit funcional em apenas dois casos.

Esse resultado trouxe duas conclusões importantes. A primeira é que identificar vulnerabilidades pode ser significativamente mais fácil e barato do que desenvolver um exploit funcional. A segunda é que, atualmente, a inteligência artificial ainda é mais eficiente na descoberta de falhas do que na exploração ativa delas.

Apesar disso, a Anthropic destacou que o fato de a IA ter conseguido gerar exploit funcional automaticamente, mesmo que em poucos casos, é um sinal de alerta para a comunidade de segurança. Nos testes realizados, os exploits funcionaram apenas em um ambiente controlado, onde algumas proteções de segurança como sandboxing foram removidas propositalmente.

Um dos exploits criados pelo modelo explorava a vulnerabilidade CVE-2026-2796, classificada com CVSS 9.8, relacionada a um erro de compilação JIT (Just-in-Time) no componente WebAssembly JavaScript do navegador.

Como parte do processo de pesquisa, foi utilizado um sistema chamado task verifier, responsável por validar automaticamente se o exploit ou correção gerada pela IA realmente funciona. Esse mecanismo fornece feedback em tempo real ao modelo, permitindo que ele refine seus resultados até produzir uma solução funcional.

A revelação ocorre poucas semanas após o lançamento experimental do Claude Code Security, uma iniciativa da Anthropic voltada ao uso de agentes de IA para identificar e corrigir vulnerabilidades em softwares.

Em comunicado conjunto, a Mozilla afirmou que a abordagem assistida por inteligência artificial já levou à descoberta de cerca de 90 outras falhas no navegador. Muitas delas eram erros de lógica ou falhas de verificação (assertion failures) problemas que normalmente são identificados por técnicas como fuzzing, mas que nem sempre são detectados por essas ferramentas tradicionais.

Segundo a Mozilla, os resultados demonstram que a combinação entre engenharia de software rigorosa e ferramentas baseadas em IA representa um novo avanço significativo na análise de segurança em larga escala. Para a organização, essa abordagem tende a se tornar um componente importante no arsenal de ferramentas utilizadas por engenheiros de segurança no futuro.