- O modelo Claude Mythos Preview da Anthropic identificou 271 vulnerabilidades no Firefox, com correções concluídas a tempo do lançamento do Firefox 150.
- Ao todo, o Firefox 150 corrige mais de quarenta CVEs, mas apenas três são atribuídos ao Mythos: CVE-2026-6746, CVE-2026-6757 e CVE-2026-6758.
- A maior parte dos 271 bugs envolve falhas de menor gravidade ou problemas em caminhos de código não exploráveis, como defesa em profundidade e hardening; não há falhas que se enquadrem nos três CVEs anunciados.
- A Anthropic restringiu o acesso ao Mythos por meio do Project Glasswing, disponibilizando o modelo apenas a um grupo seleto de organizações, incluindo AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia e Palo Alto Networks.
- A Palo Alto Networks informou que Mythos realizou o equivalente a um ano de testes de penetração em menos de três semanas e que o modelo consegue combinar falhas de gravidade média e baixa em uma exploração crítica; também mencionou relatos de acesso não autorizado ao Mythos.
O modelo de IA Claude Mythos da Anthropic identificou 271 vulnerabilidades no navegador Firefox, de acordo com a Mozilla. As falhas foram detectadas antes do lançamento do Firefox 150, previsto para esta semana.
A Mozilla informou que o Firefox 150 corrige mais de 40 CVEs, mas apenas três são atribuídos diretamente ao Mythos: CVE-2026-6746, CVE-2026-6757 e CVE-2026-6758. A maior parte dos 271 problemas envolve falhas de menor gravidade ou caminhos de código não exploráveis.
Bobby Holley, diretor de tecnologia do Firefox, ressaltou que nenhum bug encontrado exigiria intervenção humana fora do comum, e que não há evidências de vulnerabilidades inteiramente novas para o tema. A declaração enfatiza controle de qualidade por pesquisadores especializados.
Restrição de acesso ao Mythos
A Anthropic mantém o Mythos sob supervisão, com acesso restrito por meio do Project Glasswing. A empresa afirmou que o modelo pode descobrir vulnerabilidades de dia zero, ainda não conhecidas pelos desenvolvedores.
Participantes do Glasswing incluem grandes organizações de tecnologia e segurança, como AWS, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, entre outros. A lista completa não foi tornada pública pela companhia.
Resultados de testes e implicações
A Palo Alto Networks divulgou dados preliminares que sugerem que o Mythos realizou, em poucas semanas, o equivalente a um ano de testes de penetração. A empresa aponta que o modelo combina falhas de gravidade média e baixa para atingir exploração crítica.
De acordo com a Palo Alto Networks, o Mythos também identifica problemas baseados em lógica que ferramentas tradicionais não detectam. O estudo reforça a visão de que modelos avançados de IA podem ampliar o alcance da cibersegurança.
Lee Klarich, diretor de produtos e tecnologia da Palo Alto Networks, afirmou que avanços nesse campo devem se tornar comuns em seis meses. O executivo alertou para o aumento de riscos em empresas e infraestruturas críticas que não adotarem proteções adequadas.
A notícia também menciona que já houve relatos de acesso não autorizado ao Mythos, o que motiva avaliações sobre controle de uso e permissões. As autoridades e as empresas envolvidas acompanham as etapas de mitigação para evitar incidentes.
Entre na conversa da comunidade