A Mozilla corrigiu um total de 423 bugs de segurança no Firefox em abril de 2026, um número quase 20 vezes maior que sua média mensal de cerca de 21 bugs ao longo de 2025. O aumento foi impulsionado por um pipeline de IA agêntica baseado no Claude Mythos Preview e outros modelos de linguagem grandes.
Descoberta e escopo das vulnerabilidades
O surto foi desencadeado pelo acesso antecipado da Mozilla ao Claude Mythos Preview, que identificou 271 das 423 vulnerabilidades corrigidas em abril. A maioria foi enviada como parte do Firefox 150, lançado em 21 de abril de 2026, com correções adicionais fluindo para as versões 149.0.2, 150.0.1 e 150.0.2.
Detalhes técnicos das falhas
Das 271 bugs atribuídos ao Claude Mythos Preview no Firefox 150, 180 foram classificadas como sec-high, 80 como sec-moderate e 11 como sec-low. Isso significa que a maioria eram vulnerabilidades exploráveis via comportamento normal do usuário, como simplesmente visitar uma página web maliciosa.
Exemplos de vulnerabilidades críticas
Entre as falhas destacadas está uma falha de 15 anos no elemento HTML <legend> (Bug 2024437), acionada pela orquestração meticulosa de profundidades de pilha de recursão e casos de borda de coleta de ciclos. Também há uma falha de uso após liberação (UAF) de 20 anos no motor XSLT do Firefox (Bug 2025977).
Escape de sandbox e riscos de execução remota
Várias bugs representam primitivas críticas de escape de sandbox, incluindo uma condição de corrida sobre IPC que permite a um processo de conteúdo comprometido manipular refcounts do IndexedDB para acionar um UAF. Isso pode levar à execução remota de código no processo pai.
Impacto e alcance
Com mais de 100 colaboradores trabalhando para revisar, testar e enviar os patches resultantes, a Mozilla demonstrou a escala operacional sustentada necessária para lidar com esse volume de correções. O impacto é global, afetando milhões de usuários do Firefox.
Medidas de mitigação recomendadas
A Mozilla recomenda que todos os usuários atualizem para a versão mais recente do Firefox imediatamente. Para administradores de TI, a implementação de políticas de atualização automatizada é essencial para garantir que todas as instâncias sejam corrigidas contra essas vulnerabilidades.
Conclusão
A integração de IA no ciclo de vida de segurança de software representa um avanço significativo na detecção de vulnerabilidades. No entanto, a responsabilidade final de aplicar patches e manter sistemas atualizados permanece com os administradores e usuários finais.