A Mozilla acaba de corrigir 271 vulnerabilidades no Firefox 150, todas descobertas pelo Claude Mythos Preview, o modelo de IA mais avançado da Anthropic.
Desde o início de abril de 2026, o nome “Claude Mythos” tem surgido em todas as conversas sobre segurança cibernética.
Para ir mais longe
Anthropic revela Claude Mythos, uma IA considerada muito perigosa para nós
Anunciado em 7 de abril pela Anthropic como parte do programa “Project Glasswing”, este modelo geral de IA provou ser tão formidável em termos de descoberta e exploração de falhas de software que a Anthropic decidiu não torná-lo público. Apenas alguns parceiros escolhidos a dedo, Amazon Web Services, Apple, Google, Microsoft, Cisco, NVIDIA, JPMorganChase, Linux Foundation, entre outros, têm acesso. Mozilla é um deles. E os primeiros resultados concretos acabam de chegar.
Concretamente, a equipa do Firefox submeteu o código-fonte do navegador ao Claude Mythos Preview, através de um agente autónomo (Claude Code) lançado num contentor isolado. O modelo lê o código, faz hipóteses sobre possíveis falhas e depois as verifica executando o software. Nenhuma intervenção humana durante a análise. Os resultados brutos foram validados por ferramentas de verificação automática, incluindo o AddressSanitizer para erros de memória, e depois por prestadores de serviços de segurança para garantir a relevância dos relatórios.
Os números são estonteantes. Numa avaliação inicial, Claude Mythos Preview identificou 271 vulnerabilidades no Firefox 150tudo corrigido na atualização lançada esta semana. Para dar uma ordem de grandeza: no mês anterior, a Mozilla havia usado o Claude Opus 4.6, modelo anterior da Anthropic, no Firefox 148 e havia encontrado apenas 22 bugs de segurança. Passamos, portanto, de cerca de vinte para quase 300, um fator de multiplicação de cerca de 12 entre as duas gerações de modelos.
De acordo com a Anthropic, todos os bugs relatados pelo Opus 4.6 em testes anteriores revelaram-se verdadeiros positivos, confirmados por ferramentas de análise. A taxa de validação humana dos relatórios do Mythos é de 89% em concordância exata com a gravidade atribuída pelo modelo e 98% dentro de um nível de gravidade.
Um salto qualitativo, não apenas quantitativo
O que diferencia o Mythos de outros LLMs é sua capacidade de raciocinar sobre o código como um pesquisador humano, mas em uma escala e velocidade inatingíveis.
Ele não causa apenas travamentos aleatórios: ele entende a lógica do programa e visa falhas que as ferramentas tradicionais não cobrem. A Mythos até desenvolveu explorações funcionais para vulnerabilidades no mecanismo JavaScript do Firefox, onde o Opus 4.6 falhou quase sistematicamente.
Do lado da competição, a OpenAI anunciou o GPT-5.4-Cyber pouco depois, mas sem resultados públicos comparáveis. Deve ser dito que o Projeto Glasswing é financiado com US$ 100 milhões em créditos, mais US$ 4 milhões para código aberto. E para nós, usuários, por enquanto o benefício é indireto: obtemos correções mais rápidas, claro, mas ainda sem acesso ao modelo.
Bobby Holley, CTO do Firefox, no entanto, qualifica esse entusiasmo. Segundo ele, a IA não encontrou nenhuma falha que um especialista humano não pudesse ter detectado com tempo suficiente. E, inversamente, nenhuma categoria de bug escapa do Mythos. O ganho é, portanto, um ganho de fluxo, não de natureza.
Uma ferramenta poderosa, acesso bloqueado
Conforme explicado acima, Mythos não é um produto comercial. A Antrópica não planeja torná-lo público. Para quem deseja capacidades semelhantes, o Opus 4.7, lançado em 16 de abril, integra salvaguardas cibernéticas automáticas e serve como banco de testes antes de uma possível abertura dos modelos da classe Mythos. Mas as suas capacidades permanecem claramente abaixo.
Portanto, vários pontos levantam questões. Em 21 de abril, a Bloomberg revelou que um grupo não autorizado acessou a Mythos por meio de um subcontratado, adivinhando a URL graças aos maneirismos de nomenclatura da Anthropic. Para um modelo considerado “muito perigoso para ser tornado público”, isto é constrangedor.
Além disso, a Anthropic menciona “milhares” de zero-days relatados aos editores, mas o período de divulgação é de 135 dias, um tempo considerável durante o qual falhas críticas permanecem abertas.
Resumindo, se você é usuário do Firefox, o conselho é simples: atualize para a versão 150.
E apesar de tudo, é um fato: pela primeira vez, um terceiro independente confirma que um modelo de IA detecta centenas de falhas nos principais softwares com uma alta taxa de confiabilidade. Mas a Anthropic controla o acesso, dita os termos e lucra com a narrativa. A “vitória dos defensores” prometida pela Mozilla está neste momento reservada a quem tem meios para se sentar à mesa.