Voltar para todas as publicações
Publicado em · por Renaud Deraison

Assumir que o renderer cai — o que os 271 bugs encontrados por IA da Mozilla significam para a segurança do navegador

Uma versão inicial do Claude Mythos ajudou a Mozilla a encontrar 271 bugs de segurança em uma única versão do Firefox. A reação certa não é pânico nem celebração — é uma recalibragem discreta do que ainda temos que supor sobre cada navegador que publicamos, usamos ou sobre o qual construímos.

Um auditor mais inteligente encontra mais bugs. Isso não muda o fato de que o renderer é um parser de 35 milhões de linhas exposto a bytes adversariais. A reação certa ao Mythos não é alívio, nem pavor — é continuar projetando como se o próximo bug fosse o que vai passar.

No dia 21 de abril, a Mozilla publicou um post intitulado "The zero-days are numbered" ("Os zero-days estão contados"). Nele, a fundação confirmou que o Firefox 150 saiu com 271 correções de segurança descobertas durante a avaliação de uma versão inicial do Claude Mythos da Anthropic, um modelo de fronteira ajustado para pesquisa de vulnerabilidades, distribuído por meio de um programa de parceiros controlado chamado Project Glasswing. Uma versão anterior do Firefox, a 148, já havia incluído 22 bugs encontrados pelo Claude Opus 4.6. O salto de 22 para 271 em um único ciclo de versão é exatamente o tipo de número que faz as pessoas apelarem para superlativos.

A Mozilla, em seu crédito, não o fez. O CTO Bobby Holley disse ao The Register que os achados causaram "vertigem" em sua equipe e levantaram a pergunta de se "sequer é possível acompanhar". Mas ele combinou isso com uma frase comedida, fácil de perder e muito importante: "de forma animadora, também não vimos bugs que não pudessem ter sido encontrados por um pesquisador humano de elite".

Essa frase é a história inteira, e toda a tese deste post.

O que o anúncio realmente diz

Tirando as manchetes, a Mozilla está reportando três coisas.

Primeiro, uma máquina agora consegue fazer em ritmo industrial o que um pequeno número de humanos de elite já conseguia fazer em ritmo humano. O blog coloca isso diretamente: "nenhuma categoria ou complexidade de vulnerabilidade que humanos possam encontrar este modelo não consiga". É uma afirmação de capacidade. Não é uma revolução no que é encontrável; é uma revolução na velocidade com que o encontrável é encontrado.

Segundo, existe uma possibilidade real de que a complexidade dos bugs ultrapasse a capacidade de descoberta à medida que o ferramental de IA se espalhe também pelo pipeline de desenvolvimento. O enquadramento da Mozilla: "existe um risco de que as bases de código comecem a ultrapassar a compreensão humana como resultado de mais IA no processo de desenvolvimento". A compreensibilidade humana, argumenta o post, é em si uma propriedade de segurança.

Terceiro — o que todo mundo vai projetar em cima —, a Mozilla está otimista. "Luz no fim do túnel", disse Holley. "Defensores finalmente têm chance de vencer, de forma decisiva."

Achamos que a primeira afirmação é verdadeira, que a segunda merece mais atenção do que vai receber, e que a terceira está certa sobre a corrida armamentista da auditoria e errada sobre o que essa corrida de fato resolve.

Correções de segurança por versão do Firefox, atribuídas à auditoria assistida por máquinafonte: blog da mozilla.org, 2026-04-21300200100022Firefox 148Claude Opus 4.6271Firefox 150Claude Mythos PreviewEnquadramento da Mozilla: os bugs estavam ao alcance de revisores humanos de elite. O modelo só os encontrou mais rápido.
As duas últimas versões do Firefox, com e sem auditoria assistida por máquina. Os 22 bugs do Firefox 148 foram atribuídos a um modelo Claude anterior; os 271 bugs do Firefox 150 saíram de uma avaliação de um Mythos inicial. A Mozilla enfatiza que nenhum dos 271 era um bug que um pesquisador humano de elite não poderia ter encontrado — apenas que foram encontrados mais rápido.

A boa notícia, dita sem rodeios

Seria desonesto enterrar a boa notícia, então lá vai: uma ferramenta que transforma a capacidade de pesquisa de vulnerabilidades de elite em algo que escala com horas-GPU é uma das coisas mais úteis que aconteceram à segurança de navegadores em uma década. Um salto de 22 para 271, em exatamente um ciclo de versão, contra uma base de código de alguns milhões de linhas de C++, é o tipo de sinal que outros fabricantes de navegadores vão levar a sério. Os engenheiros do Chromium vão. Os do WebKit vão. As equipes que mantêm libxml2, ICU, HarfBuzz, libwebp e as outras cem parsers que cada navegador arrasta atrás de si vão, se conseguirem tempo.

Mais bugs corrigidos antes do release é francamente melhor do que menos bugs corrigidos antes do release. Todos os 271 foram achados internos, não divulgados a ninguém antes do patch sair, sem evidência de que algum deles tivesse sido explorado em ambiente real. Na velha expressão da pesquisa em segurança, eram bugs mortos caminhando. A Mozilla os matou antes que tivessem chance de custar algo a alguém.

Então: progresso real. Crédito real à Mozilla por divulgar abertamente em vez de enterrar em silêncio o volume. Crédito real à Anthropic por manter o Mythos atrás de um programa de parceiros em vez de disponibilizá-lo amplamente a qualquer um que possa pagar uma assinatura.

E então a pergunta mais difícil

Se o efeito de primeira ordem é "muitos mais bugs são corrigidos antes do envio", o efeito de segunda ordem é "a mesma capacidade está agora disponível para quem mais a Anthropic decidir dar acesso, e uma capacidade aproximadamente equivalente estará disponível para qualquer pessoa dentro de alguns trimestres". Esse segundo efeito é o que o post anterior, Por que os zero-days de navegador não vão embora, tentou apresentar em detalhe. Não vamos relitigar aqui. O que importa daquele argumento hoje é isto: um navegador é a maior peça individual de maquinaria de parsing de conteúdo não confiável rodando no seu computador, e a economia de encontrar bugs em esse tipo de maquinaria está se deslocando sob os pés de todo mundo ao mesmo tempo.

A Mozilla está certa que um defensor bem abastecido agora tem ferramentas melhores. Um atacante bem abastecido também. A pergunta é o que isso faz com os números que um usuário de fato se importa — não bugs corrigidos por release, mas bugs que terminam como um exploit funcional na caixa de entrada de alguém.

O que um tooling classe Mythos mudaBugs encontrados por releasede teto humano de elite para teto de horas-GPUTempo até o exploitmais rápido nos dois lados da divulgaçãoCusto de uma campanha de caça a bugsde folha de pagamento para conta de APIQuem pode se dar ao luxo de olhartodo projeto de código aberto, todo adversárioO que não mudaO navegador continua com ~35M linhas de C++mais centenas de parsers embutidosO renderer roda na sua conta de usuáriocom acesso a arquivos, keychain, redeUma única página carrega bytes adversariaisem dezenas de parsers de terceirosUma única cadeia funcional bastapara dominar o host em que o navegador roda
O que um auditor em velocidade de máquina muda, e o que ele não muda. A auditoria acelera dos dois lados da linha. A forma da superfície de ataque do navegador e as consequências de uma única compromissão bem-sucedida não se mexem.

A coluna da esquerda é onde o Mythos vive. A auditoria — dos dois lados — acelera. Essa aceleração é assimetricamente útil para defensores quando são eles que conseguem rodar a ferramenta primeiro, o que a Mozilla fez, o que o Chromium presumivelmente está fazendo, o que as centenas de navegadores menores e apps baseados em navegador em grande parte não estão. As acelerações da coluna direita não existem. Nenhuma quantidade de auditoria transforma um renderer monolítico in-process em um não monolítico. Nenhuma quantidade de auditoria separa o renderer do keychain, do sistema de arquivos, da webcam, da pilha de rede. A forma do problema está inalterada.

A postura que continua fazendo sentido

A Mozilla encerra seu post com uma esperança razoável — a de que possamos manter a compreensibilidade humana como propriedade de segurança de primeira classe do navegador, enquanto continuamos usando a ajuda da máquina para encontrar bugs. É uma esperança que partilhamos. Não é a esperança sobre a qual este blog é construído.

A postura em torno da qual o Bromure foi construído não prevê quantos bugs estão no renderer. Ela prevê que sempre há pelo menos um bug no renderer que ninguém ainda encontrou — às vezes os defensores chegam primeiro, às vezes os atacantes — e que a arquitetura ao redor do renderer precisa tornar essa incerteza sobrevivível.

Isso não é um argumento de fabricante de navegador. É uma escolha de modelo de ameaça. Um renderer que o Mythos auditou continua sendo um renderer executando C++ contra entrada adversarial. O próximo artigo sobre cadeias de ferramentas memory-safe, a próxima geração de fuzzers, o próximo Mythos, não vão mudar o que acontece em um computador quando um renderer é comprometido hoje, na versão do Chrome, do Safari ou do Firefox que já está nos laptops das pessoas.

Defesa por auditoriaVENCER A CORRIDA ATÉ O BUGO auditor encontra o bug primeiroO fabricante publica um patchSeu dispositivo recebe a atualizaçãoSe o atacante chegou primeiroa compromissão do renderer dispara, alcança a conta de usuário,arquivos e keychain ficam no escopo,a persistência se estabelece.Defesa por isolamentoASSUMIR QUE O BUG VAI CAIRBug do renderer existe (conhecido ou não)Exploit dispara dentro de uma VM descartávelA aba fecha, a VM é destruídaO que o exploit alcançouum convidado Linux com um perfil de navegador e nada mais:sem arquivos do host, sem keychain, sem webcam,sem persistência quando a aba é fechada.
Duas defesas contra um bug do renderer do navegador. Uma delas depende do auditor chegar ao bug primeiro. A outra depende da arquitetura ao redor do bug, independentemente de quem o encontrou.

Os dois diagramas são defesas reais. O da esquerda é aquele em que toda a indústria de navegadores vem investindo há vinte anos, e que agora acelera com o Mythos. Ele está genuinamente melhorando. É também — estruturalmente — uma defesa que depende do fabricante terminar a corrida antes do atacante. Quando essa corrida se comprime de meses para horas, como vem acontecendo, a defesa se estreita para a pergunta de se seu dispositivo por acaso se atualizou dentro da janela. Essa janela está encolhendo para os dois lados ao mesmo tempo.

O da direita é arquitetural. Ele não se importa se o bug foi encontrado pela Mozilla, pela Anthropic, pelo mesmo grupo de atacantes que rodou a Operação ForumTroll em 2025, ou ainda por ninguém. Ele faz uma pergunta diferente: quando um bug do renderer dispara, o que "dispara" significa em termos do que o atacante de fato toca?

O que o Bromure faz, dito em um fôlego

Cada aba roda dentro de uma máquina virtual Linux descartável sobre Apple Silicon. O renderer — V8, Blink, o decodificador WebP, Dawn, cada um dos parsers em que um auditor classe Mythos está encontrando bugs — roda dentro desse convidado, nunca no host. Quando uma compromissão do renderer dispara, o atacante está dentro do convidado. O convidado não contém sua pasta Documentos, seu keychain, seu iCloud Drive, sua rede local, sua câmera ou seu microfone. Ele contém um navegador, um perfil e o estado que aquele perfil acumulou. Quando a janela fecha, o convidado é destruído. Toda sessão de navegação que começa, começa limpa.

Isso não é uma afirmação de que bugs do renderer não importam. Eles importam. Senhas digitadas em uma aba comprometida continuam digitadas nessa aba. Cookies detidos por um perfil comprometido continuam alcançáveis por uma compromissão desse perfil. Entradas entregues à sessão durante a janela de exploração estão no escopo. O que não está no escopo, porque não está na mesma VM, é o resto do computador — e é no resto do computador que vivem a persistência, o movimento lateral e a maior parte do dano real.

Duas coisas que este post não está dizendo

Há dois erros fáceis de cometer lendo o acima. Queremos evitar os dois.

Não: «nosso renderer é melhor»

O Bromure usa Chromium upstream. Os parsers que o Mythos auditou no Firefox têm análogos em cada navegador baseado em Chromium, Bromure incluído. Não estamos afirmando que nosso renderer tem menos bugs que o de qualquer outro. Estamos afirmando que nossa postura não depende de o nosso renderer ter menos bugs.

Não: «auditoria por IA é ruim, na verdade»

Tooling classe Mythos é um ganho líquido claro para os defensores — se cada navegador e cada parser de terceiros embutido for auditado nessa cadência, o mundo fica mais seguro. Nosso ponto é mais estreito: esse tipo de progresso levanta o teto da qualidade do renderer; ele não muda a pergunta de projeto sobre o que fazer quando o renderer for, mesmo assim, explorado. Essa é a pergunta que o Bromure foi feito para responder.

O que observar a seguir

A leitura honesta do anúncio da Mozilla é que isso é a abertura de uma longa conversa. Há pelo menos três coisas que vão importar nos próximos trimestres.

Primeiro, se o Chromium e o WebKit confirmam volumes de descoberta semelhantes quando suas próprias auditorias assistidas por Mythos saírem. Os números do Firefox são marcantes; o quadro em toda a indústria ainda está embaçado. Segundo, se o mesmo ferramental começa a aparecer em mãos de atacantes depois da divulgação. A Mozilla toma o cuidado de não afirmar que os 271 bugs fossem zero-days exploráveis; eram correções. A pergunta é como se parece a mesma classe de ferramenta apontada para o Chrome na manhã seguinte ao próximo release Stable, nas mãos de alguém que não está aplicando patches.

Terceiro, e esta é a preocupação da própria Mozilla, se a interação entre desenvolvimento assistido por IA e auditoria assistida por IA produz um aumento líquido em compreensibilidade ou uma diminuição líquida. Uma base de código que só um modelo consegue auditar é uma base de código cuja segurança depende de acesso contínuo a modelos. Esse é um modo de falha diferente do que vivemos por vinte anos, e não obviamente melhor.

Da nossa parte, vamos continuar escrevendo sobre isso conforme se desenvolver. E vamos continuar fazendo a mesma aposta de projeto: que uma VM descartável por aba transforma o pior desfecho de um bug de navegador em uma sessão que você precisa reiniciar, não em um computador que você precisa reconstruir. Essa aposta não fica pior quando os renderers melhoram. Ela fica, no sentido mais estreito e útil, ligeiramente redundante — um problema que adoraríamos ter.

Instale o Bromure. Continue atualizando seu outro navegador também. E quando a próxima manchete disser "auditoria assistida por IA encontra centenas de vulnerabilidades em [produto]" — e vai dizer, muitas vezes, este ano — leia pelo que é: evidência de que o teto está subindo, não evidência de que o piso mudou.