🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Anthropic disse na sexta-feira que descobriu 22 novas vulnerabilidades de segurança no navegador Firefox como parte de uma parceria de segurança com a Mozilla.
Destes, 14 foram classificados como elevados, sete foram classificados como moderados e um foi classificado como de gravidade baixa. Os problemas foram resolvidos no Firefox 148, lançado no final do mês passado. As vulnerabilidades foram identificadas durante um período de duas semanas em janeiro de 2026.
A empresa de inteligência artificial (IA) disse que o número de bugs de alta gravidade identificados por seu modelo de linguagem grande (LLM) Claude Opus 4.6 representa “quase um quinto” de todas as vulnerabilidades de alta gravidade que foram corrigidas no Firefox em 2025.
A Anthropic disse que o LLM detectou um bug de uso após livre no JavaScript do navegador após “apenas” 20 minutos de exploração, que foi então validado por um pesquisador humano em um ambiente virtualizado para descartar a possibilidade de um falso positivo.
“Ao final deste esforço, verificamos quase 6.000 arquivos C++ e enviamos um total de 112 relatórios exclusivos, incluindo as vulnerabilidades de gravidade alta e moderada mencionadas acima”, disse a empresa. "A maioria dos problemas foi corrigida no Firefox 148, e o restante será corrigido nas próximas versões."
A startup de IA disse que também forneceu ao seu modelo Claude acesso a toda a lista de vulnerabilidades enviadas à Mozilla e encarregou a ferramenta de IA de desenvolver uma exploração prática para elas.
Apesar de realizar o teste centenas de vezes e gastar cerca de US$ 4.000 em créditos de API, a empresa disse que Claude Opus 4.6 foi capaz de transformar o defeito de segurança em uma exploração apenas em dois casos.
Esse comportamento, acrescentou a empresa, sinalizou dois aspectos importantes: o custo de identificar vulnerabilidades é mais barato do que criar uma exploração para elas, e o modelo é melhor para encontrar problemas do que para explorá-los.
“No entanto, o fato de Claude ter conseguido desenvolver automaticamente uma exploração rudimentar do navegador, mesmo que apenas em alguns casos, é preocupante”, enfatizou a Anthropic, acrescentando que as explorações só funcionaram dentro dos limites de seu ambiente de testes, que teve alguns recursos de segurança, como sandboxing, intencionalmente removidos.
Um componente crucial incorporado ao processo é um verificador de tarefas para determinar se a exploração realmente funciona, fornecendo feedback em tempo real à ferramenta enquanto ela explora a base de código em questão e permitindo que ela itere seus resultados até que uma exploração bem-sucedida seja desenvolvida.
Uma dessas explorações que Claude escreveu foi para CVE-2026-2796 (pontuação CVSS: 9,8), que foi descrita como uma compilação incorreta just-in-time (JIT) no componente JavaScript WebAssembly.
A divulgação ocorre semanas depois que a empresa lançou Claude Code Security em uma prévia limitada de pesquisa como uma forma de corrigir vulnerabilidades usando um agente de IA.
“Não podemos garantir que todos os patches gerados por agentes que passam nesses testes sejam bons o suficiente para serem mesclados imediatamente”, disse a Anthropic. “Mas os verificadores de tarefas nos dão maior confiança de que o patch produzido corrigirá a vulnerabilidade específica enquanto preserva a funcionalidade do programa – e, portanto, alcançará o que é considerado o requisito mínimo para um patch plausível”.
A Mozilla, em um anúncio coordenado, disse que a abordagem assistida por IA descobriu 90 outros bugs, a maioria dos quais foram corrigidos. Eles consistiam em falhas de asserção que se sobrepunham a problemas tradicionalmente encontrados por meio de fuzzing e classes distintas de erros lógicos que os fuzzers não conseguiram detectar.
“A escala das descobertas reflete o poder de combinar engenharia rigorosa com novas ferramentas de análise para melhoria contínua”, disse o fabricante do navegador. “Vemos isso como uma evidência clara de que a análise em larga escala assistida por IA é uma nova adição poderosa à caixa de ferramentas dos engenheiros de segurança”.
Destes, 14 foram classificados como elevados, sete foram classificados como moderados e um foi classificado como de gravidade baixa. Os problemas foram resolvidos no Firefox 148, lançado no final do mês passado. As vulnerabilidades foram identificadas durante um período de duas semanas em janeiro de 2026.
A empresa de inteligência artificial (IA) disse que o número de bugs de alta gravidade identificados por seu modelo de linguagem grande (LLM) Claude Opus 4.6 representa “quase um quinto” de todas as vulnerabilidades de alta gravidade que foram corrigidas no Firefox em 2025.
A Anthropic disse que o LLM detectou um bug de uso após livre no JavaScript do navegador após “apenas” 20 minutos de exploração, que foi então validado por um pesquisador humano em um ambiente virtualizado para descartar a possibilidade de um falso positivo.
“Ao final deste esforço, verificamos quase 6.000 arquivos C++ e enviamos um total de 112 relatórios exclusivos, incluindo as vulnerabilidades de gravidade alta e moderada mencionadas acima”, disse a empresa. "A maioria dos problemas foi corrigida no Firefox 148, e o restante será corrigido nas próximas versões."
A startup de IA disse que também forneceu ao seu modelo Claude acesso a toda a lista de vulnerabilidades enviadas à Mozilla e encarregou a ferramenta de IA de desenvolver uma exploração prática para elas.
Apesar de realizar o teste centenas de vezes e gastar cerca de US$ 4.000 em créditos de API, a empresa disse que Claude Opus 4.6 foi capaz de transformar o defeito de segurança em uma exploração apenas em dois casos.
Esse comportamento, acrescentou a empresa, sinalizou dois aspectos importantes: o custo de identificar vulnerabilidades é mais barato do que criar uma exploração para elas, e o modelo é melhor para encontrar problemas do que para explorá-los.
“No entanto, o fato de Claude ter conseguido desenvolver automaticamente uma exploração rudimentar do navegador, mesmo que apenas em alguns casos, é preocupante”, enfatizou a Anthropic, acrescentando que as explorações só funcionaram dentro dos limites de seu ambiente de testes, que teve alguns recursos de segurança, como sandboxing, intencionalmente removidos.
Um componente crucial incorporado ao processo é um verificador de tarefas para determinar se a exploração realmente funciona, fornecendo feedback em tempo real à ferramenta enquanto ela explora a base de código em questão e permitindo que ela itere seus resultados até que uma exploração bem-sucedida seja desenvolvida.
Uma dessas explorações que Claude escreveu foi para CVE-2026-2796 (pontuação CVSS: 9,8), que foi descrita como uma compilação incorreta just-in-time (JIT) no componente JavaScript WebAssembly.
A divulgação ocorre semanas depois que a empresa lançou Claude Code Security em uma prévia limitada de pesquisa como uma forma de corrigir vulnerabilidades usando um agente de IA.
“Não podemos garantir que todos os patches gerados por agentes que passam nesses testes sejam bons o suficiente para serem mesclados imediatamente”, disse a Anthropic. “Mas os verificadores de tarefas nos dão maior confiança de que o patch produzido corrigirá a vulnerabilidade específica enquanto preserva a funcionalidade do programa – e, portanto, alcançará o que é considerado o requisito mínimo para um patch plausível”.
A Mozilla, em um anúncio coordenado, disse que a abordagem assistida por IA descobriu 90 outros bugs, a maioria dos quais foram corrigidos. Eles consistiam em falhas de asserção que se sobrepunham a problemas tradicionalmente encontrados por meio de fuzzing e classes distintas de erros lógicos que os fuzzers não conseguiram detectar.
“A escala das descobertas reflete o poder de combinar engenharia rigorosa com novas ferramentas de análise para melhoria contínua”, disse o fabricante do navegador. “Vemos isso como uma evidência clara de que a análise em larga escala assistida por IA é uma nova adição poderosa à caixa de ferramentas dos engenheiros de segurança”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #anthropic #encontra #22 #vulnerabilidades #no #firefox #usando #o #modelo #claude #opus #4.6 #ai
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário