Claude Mythos: Firefox fecha mais vulnerabilidades em abril do que em todo 2025
A Mozilla utilizou a IA Claude Mythos para identificar e corrigir um número recorde de vulnerabilidades no Firefox em abril de 2026. A ferramenta encontrou falhas que passaram despercebidas por anos, demonstrando o potencial da análise de código baseada em IA para aprimorar a segurança.
MundiX News·14 de maio de 2026·5 min de leitura·👁 3 views
A equipe do Firefox, com o auxílio da IA Claude Mythos, fechou mais vulnerabilidades em abril do que em todo o ano de 2025. A Mozilla publicou uma análise técnica do trabalho com o Claude Mythos Preview, um modelo avançado da Anthropic, que a empresa abriu para um grupo seleto de empresas para a busca de vulnerabilidades. Em abril de 2026, foram corrigidas 423 vulnerabilidades no navegador. Para comparação, o total de 2025 foi de 258, com uma média de 17 a 31 correções por mês. O ritmo mudou em fevereiro (61) e março (76), quando a Mozilla trabalhou com um modelo anterior, o Claude Opus 4.6, e aumentou drasticamente em abril após a transição para o Mythos.
Entre as vulnerabilidades reveladas, há um bug no processamento do elemento HTML <legend>, que permaneceu no código por 15 anos, e um problema no XSLT com 20 anos: a chamada repetida de key() aciona a reconstrução da tabela hash, na qual seu armazenamento é liberado, embora ainda haja um ponteiro válido apontando para ele. Esses bugs passaram despercebidos por décadas pelos fuzzers – sistemas de enumeração automática de dados de entrada.
Entre os casos mais complexos, há um ataque através da fronteira IPC: um valor NaN, transmitido entre processos, pode se disfarçar como um ponteiro tagged para um objeto JS e se tornar uma ferramenta para escapar da sandbox para o processo parent privilegiado. Outra descoberta explora a semântica de rowspan=0 em tabelas HTML – adicionando mais de 65535 linhas, um atacante ignora a limitação e estoura um layout bitfield de 16 bits, que os fuzzers não notaram por anos.
Não menos interessante é o que o Mythos NÃO conseguiu quebrar. Nos logs do harness – o invólucro que executa o modelo e verifica suas hipóteses – é visível que o modelo tentou repetidamente escalar privilégios através de prototype pollution no processo parent privilegiado. A Mozilla "congelou" arquiteturalmente os protótipos padrão há alguns anos, e todas as tentativas foram frustradas por essa proteção. Os autores da postagem escrevem que observar os ataques fracassados foi mais agradável do que encontrar novos bugs – este é um retorno direto do trabalho anterior para fortalecer a proteção.
Das 271 vulnerabilidades encontradas pelo Mythos, 180 têm classificação sec-high – este é o nível em que um ataque pode ser realizado através de uma visita normal a uma página da web. A Mozilla acredita que a análise de código baseada em agentes está mudando o cenário em favor dos defensores. Antes, encontrar uma vulnerabilidade em um projeto maduro exigia semanas de trabalho de um especialista caro: um atacante precisava de apenas uma descoberta, enquanto o defensor tinha que fechar todas. Agora, a máquina encontra bugs de forma barata e em massa – a Mozilla planeja verificar cada patch dessa forma. Isso pode levar a uma nova era na cibersegurança, onde a detecção proativa de vulnerabilidades se torna mais acessível e eficiente, reduzindo o tempo de exposição a potenciais exploits e payloads maliciosos, como ransomware.
Essa abordagem também pode ser utilizada para identificar vulnerabilidades zero-day antes que se tornem um problema, além de auxiliar na detecção de tentativas de phishing e outras ameaças online. A capacidade de analisar grandes volumes de código de forma rápida e precisa permite que as equipes de segurança se concentrem em mitigar os riscos mais críticos, em vez de gastar tempo em tarefas manuais e repetitivas.
A equipe do Firefox, com o auxílio da IA Claude Mythos, fechou mais vulnerabilidades em abril do que em todo o ano de 2025. A Mozilla publicou uma análise técnica do trabalho com o Claude Mythos Preview, um modelo avançado da Anthropic, que a empresa abriu para um grupo seleto de empresas para a busca de vulnerabilidades. Em abril de 2026, foram corrigidas 423 vulnerabilidades no navegador. Para comparação, o total de 2025 foi de 258, com uma média de 17 a 31 correções por mês. O ritmo mudou em fevereiro (61) e março (76), quando a Mozilla trabalhou com um modelo anterior, o Claude Opus 4.6, e aumentou drasticamente em abril após a transição para o Mythos.
Entre as vulnerabilidades reveladas, há um bug no processamento do elemento HTML <legend>, que permaneceu no código por 15 anos, e um problema no XSLT com 20 anos: a chamada repetida de key() aciona a reconstrução da tabela hash, na qual seu armazenamento é liberado, embora ainda haja um ponteiro válido apontando para ele. Esses bugs passaram despercebidos por décadas pelos fuzzers – sistemas de enumeração automática de dados de entrada.
Entre os casos mais complexos, há um ataque através da fronteira IPC: um valor NaN, transmitido entre processos, pode se disfarçar como um ponteiro tagged para um objeto JS e se tornar uma ferramenta para escapar da sandbox para o processo parent privilegiado. Outra descoberta explora a semântica de rowspan=0 em tabelas HTML – adicionando mais de 65535 linhas, um atacante ignora a limitação e estoura um layout bitfield de 16 bits, que os fuzzers não notaram por anos.
Não menos interessante é o que o Mythos NÃO conseguiu quebrar. Nos logs do harness – o invólucro que executa o modelo e verifica suas hipóteses – é visível que o modelo tentou repetidamente escalar privilégios através de prototype pollution no processo parent privilegiado. A Mozilla "congelou" arquiteturalmente os protótipos padrão há alguns anos, e todas as tentativas foram frustradas por essa proteção. Os autores da postagem escrevem que observar os ataques fracassados foi mais agradável do que encontrar novos bugs – este é um retorno direto do trabalho anterior para fortalecer a proteção.
Das 271 vulnerabilidades encontradas pelo Mythos, 180 têm classificação sec-high – este é o nível em que um ataque pode ser realizado através de uma visita normal a uma página da web. A Mozilla acredita que a análise de código baseada em agentes está mudando o cenário em favor dos defensores. Antes, encontrar uma vulnerabilidade em um projeto maduro exigia semanas de trabalho de um especialista caro: um atacante precisava de apenas uma descoberta, enquanto o defensor tinha que fechar todas. Agora, a máquina encontra bugs de forma barata e em massa – a Mozilla planeja verificar cada patch dessa forma. Isso pode levar a uma nova era na cibersegurança, onde a detecção proativa de vulnerabilidades se torna mais acessível e eficiente, reduzindo o tempo de exposição a potenciais exploits e payloads maliciosos, como ransomware.
Essa abordagem também pode ser utilizada para identificar vulnerabilidades zero-day antes que se tornem um problema, além de auxiliar na detecção de tentativas de phishing e outras ameaças online. A capacidade de analisar grandes volumes de código de forma rápida e precisa permite que as equipes de segurança se concentrem em mitigar os riscos mais críticos, em vez de gastar tempo em tarefas manuais e repetitivas.
