Proponha uma correção, faça uma sugestão
Claude Mythos descobre mais de 270 novas vulnerabilidades no Firefox
O Mozilla Firefox é considerado um dos navegadores web de código aberto mais testados e seguros do mundo, mas isso não significa que esteja livre de vulnerabilidades. Pelo contrário, a mais recente versão da aplicação chegou com correções para 271 falhas de segurança encontradas por Claude Mythos.
A IA da Anthropic está a ajudar a Mozilla na segurança
A informação foi divulgada através do blogue oficial da Mozilla Foundation. Os programadores do Firefox indicaram que, ao analisarem a versão 150 do browser com o Claude Mythos, encontraram um número surpreendente de vulnerabilidades que precisavam de ser corrigidas. Felizmente, estas vulnerabilidades já têm as suas respetivas correções .
Esta não é a primeira vez que a Mozilla utiliza a IA da Anthropic para encontrar falhas de segurança no Firefox. Antes, os programadores encontraram mais de vinte vulnerabilidades críticas no seu código utilizando o Claude Sonnet 4.6, que não tem as mesmas capacidades de cibersegurança do Mythos.
Segundo a Mozilla, a tecnologia está a avançar tão rapidamente que apenas uma das 271 falhas encontradas por Claude Mythos teria acionado um alerta vermelho em 2025. Além disso, a fundação reconheceu que a descoberta simultânea de tantas vulnerabilidades de segurança levanta sérias questões sobre se será possível acompanhar o ritmo.
Claude Mythos descobre 270 vulnerabilidades no Firefox
Mas a organização por detrás do Firefox apresentou uma visão bastante otimista em relação ao futuro da cibersegurança assistida por IA. Numa altura em que Claude Mythos está no centro das atenções devido aos potenciais danos que poderia causar caso se descontrolasse ou caísse em mãos erradas, a Mozilla optou por ver o copo meio cheio.
Um ponto interessante levantado pela Mozilla em relação à utilização do Claude Mythos para detetar vulnerabilidades no Firefox é que este oferece uma solução para um problema crescente: a falta de investigadores de segurança de elite. A organização defende que a procura manual de falhas críticas em qualquer software consome muito tempo e cria um estrangulamento devido à escassez de especialistas humanos para realizar a tarefa.
Além disso, indicam que os sistemas de cibersegurança baseados em IA estão a evoluir tão rapidamente que já conseguem realizar tarefas consideradas impossíveis há poucos meses. "Temos muitos anos de experiência a analisar meticulosamente o trabalho dos melhores investigadores de segurança do mundo, e o Claude Mythos Preview é igualmente capaz", refletiram.
Loading ...
Já tinha comentado sobre estas descobertas de vulnerabilidades no Firefox, de facto é assustador o que esta ferramenta nas mãos erradas pode fazer.
Acho que a estratégia da Antropic é a mais correcta, ter dado acesso antecipado a vários países da NATO, empresas Big tech, tudo que faz parte Project Glasswing,
Empresas como Microsoft, Amazon, Google e CrowdStrike centros de cybersegurança de vários países também já tem acesso.
Assim pelo menos conseguem ter algum tempo para resolver problemas antecipadamente, o que já está a acontecer com Linux, empresas de firmware para routers, banca, etc…
o que muitas empresas já estão a fazer é integrar a API do mythos nos seus processos de SAST e DAST, dessa forma é bastante rapida a detecção, depois é só corrigir que pode levar mais tempo
O número 270 é só para criar “hype” para investidores, a maioria dos “bugs” que o Mythos encontrou não podem ser explorados para ataques, muitas das falhas de segurança que encontrou é o uso de funções que são veneráveis a buffer overflow como “strcpy” mas no código já existia lógica antes que impediam que pudessem ser exploradas.
Na versão 150 foram apenas corrigidas 3 venerabilidades de segurança que podiam ser exploradas, e nem todos os bugs foram encontrados pelo Mythos. Isto não deixa de demonstrar as potencialidades e benefícios que ferramentas como o Mythos podem trazer ao ramo de cibersegurança mas o Mythos ainda não é nenhuma Skynet.
“(…) ainda não é nenhuma Skynet.”… “ainda”.
Vulnerabilidades
A versão gratuita é bastante satisfatória.
+1 sem duvidas muito bom!
Oportunidade para deixarem de atalhar no desenvolvimento, muitas vezes por pressão de PMs e POs que descubram segurança e riscos, o típico para quem não se deu ao trabalho de ler sobre product lifecycle best practices
Infelizmente acho que isto não são boas notícias… Basicamente a IA está a ser incluída no desenvolvimento de código, depois na identificação de falhas, e por fim na exploração de falhas. Isto faz com que as empresas de IA possam facturar em 3 áreas de negócio distintas, fazendo com que seja impossível desenvolver software sem recorrer a IA. O problema é que a exploração de falhas é muito mais simples do que identificar todos os bugs que podem ser explorados (basta uma falha para comprometer uma stack aplicacional). Eu posso usar alguém para ver se todas as portas e janelas da minha casa estão fechadas, mas basta um intruso detectar um ponto de entrada que não tenha sido corretamente validado, para conseguir entrar.
Por isso é que acho que vai ser a loucura e o potencial para a tecnologia ser utilizada para o mal é maior do que para o bem. Destruir é sempre mais fácil que construir…