Em um experimento conduzido entre janeiro e fevereiro de 2026, a equipe da Anthropic encontrou 22 vulnerabilidades no Firefox usando o modelo de linguagem Claude Opus 4.6. O trabalho fez parte de uma parceria direta com a Mozilla voltada para testar a eficácia de ferramentas de inteligência artificial na detecção de falhas em grandes bases de código de software livre.
Segundo o relatório publicado pela Anthropic, 14 das 22 falhas foram classificadas como de alta gravidade, significando que poderiam permitir execução de código remoto ou acesso indevido à memória do navegador. A maior parte delas foi corrigida no Firefox 148, lançado em fevereiro, enquanto as demais devem ser tratadas na próxima atualização estável.
O teste começou concentrando a análise no motor JavaScript do Firefox (SpiderMonkey), uma das áreas mais críticas e complexas do navegador. Depois, o modelo foi expandido para examinar outros componentes, incluindo manipuladores de mídia e o sistema de renderização. De acordo com os engenheiros envolvidos, o objetivo era avaliar se a IA poderia ajudar em auditorias de segurança de forma comparável — ou até superior — aos processos humanos convencionais.
Durante o período de duas semanas, o Claude Opus revisou milhares de arquivos e apontou trechos suspeitos com base em padrões de uso de memória, acesso a ponteiros e comportamentos inconsistentes de variáveis. A Mozilla confirmou que parte dos alertas levava, de fato, a problemas reais. Em outros casos, os apontamentos serviram para aprimorar a documentação interna do código e evitar falsos positivos em análises futuras.
Apesar da eficiência na descoberta de bugs, o desempenho na criação de provas de conceito (exploits) foi significativamente menor. A equipe da Anthropic gastou cerca de US$ 4 mil em créditos de API tentando gerar códigos capazes de explorar as falhas de forma controlada. Apenas dois desses testes resultaram em exploits funcionais. Essa limitação reforça que, embora modelos de IA avancem na inspeção de código, eles ainda dependem de validação humana para testar hipóteses práticas de ataque.
A iniciativa ocorre em um momento em que várias empresas de tecnologia — entre elas a Google e a OpenAI — também avaliam o uso de modelos de linguagem para reforçar segurança. Em 2025, a Google anunciou resultados semelhantes usando IA no projeto Chromium, apontando mais de 30 bugs de alto risco. O caso do Firefox mostra que, mesmo em projetos maduros e amplamente auditados, há espaço para ferramentas automatizadas complementarem a atuação humana em segurança digital.
