A inteligência artificial está cada vez mais presente no campo da cibersegurança e um exemplo recente mostra como ela pode acelerar a descoberta de falhas em softwares amplamente utilizados. A empresa de IA Anthropic revelou ter identificado 22 vulnerabilidades de segurança no navegador Mozilla Firefox, durante uma colaboração direta com a organização responsável pelo navegador, a Mozilla Foundation.
As falhas foram encontradas com o auxílio do modelo de inteligência artificial Claude Opus 4.6, demonstrando como ferramentas baseadas em IA estão se tornando cada vez mais eficientes na análise de código e na identificação de problemas de segurança.
Descoberta de vulnerabilidades em apenas duas semanas
Segundo a Anthropic, as vulnerabilidades foram descobertas após duas semanas de análise realizadas em janeiro de 2026. Durante esse período, o modelo de IA examinou milhares de arquivos de código do navegador.
No total, foram identificadas:
- 14 vulnerabilidades críticas
- 7 vulnerabilidades de gravidade moderada
- 1 vulnerabilidade de baixo impacto
A boa notícia é que todas as falhas já foram corrigidas ou mitigadas na versão 148 do Firefox, lançada no final do mês passado.
IA encontrou falha crítica em apenas 20 minutos
Um dos casos mais relevantes identificados pelo modelo envolveu uma vulnerabilidade do tipo use-after-free, localizada no mecanismo JavaScript do navegador.
Esse tipo de falha ocorre quando um programa tenta acessar uma área de memória que já foi liberada pelo sistema. Em cenários específicos, isso pode permitir que um atacante execute código malicioso no sistema da vítima.
O detalhe impressionante é que o modelo Claude Opus 4.6 levou cerca de 20 minutos para identificar essa falha. Posteriormente, um pesquisador humano confirmou a vulnerabilidade em um ambiente virtualizado para garantir que não se tratava de um falso positivo.
Análise de milhares de arquivos de código
Durante o experimento, o sistema de IA analisou aproximadamente 6.000 arquivos escritos em C++, gerando 112 relatórios de possíveis vulnerabilidades.
Parte desses relatórios corresponde justamente às falhas classificadas como críticas ou moderadas. De acordo com a Anthropic, a maioria já foi corrigida na versão mais recente do navegador, enquanto outras correções devem chegar em atualizações futuras.
Esse tipo de análise automatizada mostra como modelos de IA podem acelerar significativamente o processo de auditoria de segurança em grandes bases de código.
Teste adicional: IA tentando criar exploits
Além da identificação das falhas, os pesquisadores realizaram um experimento adicional: forneceram ao modelo de IA uma lista completa de vulnerabilidades reportadas à Mozilla e pediram que ele tentasse desenvolver exploits funcionais para explorá-las.
Mesmo após centenas de tentativas e cerca de US$ 4.000 em créditos de API, o modelo conseguiu criar exploits funcionais em apenas dois casos.
Esse resultado levou a duas conclusões importantes:
- Encontrar vulnerabilidades é significativamente mais fácil do que explorá-las.
- A IA ainda é mais eficiente na descoberta de falhas do que na criação de ataques funcionais.
Um exploit automatizado foi criado pela IA
Entre os casos em que a IA conseguiu gerar um exploit funcional, um deles explorava a vulnerabilidade CVE-2026-2796, classificada com pontuação CVSS 9.8.
A falha estava relacionada a um erro no compilador JIT (Just-in-Time) do componente WebAssembly JavaScript do navegador.
Nos testes realizados, os exploits funcionaram apenas em ambientes controlados, onde algumas proteções de segurança como o sandbox do navegador foram removidas propositalmente.
Mesmo assim, especialistas consideram esse resultado um sinal de alerta para a comunidade de segurança.
Sistema automatizado para validar exploits
Para validar automaticamente se as correções ou exploits gerados pela IA funcionavam, os pesquisadores utilizaram um sistema chamado task verifier.
Esse sistema executa testes automáticos e fornece feedback em tempo real para o modelo de IA, permitindo que ele refine suas respostas até produzir uma solução funcional.
Esse tipo de abordagem mostra como sistemas de IA podem evoluir rapidamente quando recebem feedback automático e contínuo.
IA deve se tornar ferramenta essencial na cibersegurança
A divulgação dessa pesquisa ocorre poucas semanas após o lançamento experimental do Claude Code Security, iniciativa da Anthropic focada no uso de agentes de IA para identificar e corrigir vulnerabilidades em softwares.
Em comunicado conjunto, a Mozilla afirmou que o uso de inteligência artificial já ajudou a descobrir cerca de 90 outras falhas no Firefox.
Muitas dessas vulnerabilidades eram erros de lógica ou falhas de verificação, problemas que normalmente são identificados por técnicas como fuzzing, mas que nem sempre são detectados por ferramentas tradicionais.
Segundo a Mozilla, a combinação entre engenharia de software rigorosa e ferramentas baseadas em inteligência artificial representa um avanço significativo na análise de segurança em larga escala.
A expectativa é que, no futuro próximo, a IA se torne uma das principais aliadas dos engenheiros de segurança na identificação e correção de vulnerabilidades em softwares complexos.
