Inteligências artificiais como o modelo Mythos, da Anthropic, identificaram 271 vulnerabilidades no Firefox, mas André Baptista, CTO da Ethiack, alerta: encontrar falhas ficou mais fácil, porém corrigi-las e priorizá-las continua sendo o maior desafio da cibersegurança — a IA não substitui supervisão humana nem estratégia de segurança completa.
Modelos de inteligência artificial avançados estão identificando vulnerabilidades em software em escala sem precedentes, mas especialistas alertam que a tecnologia está longe de resolver os problemas de segurança digital. A análise é de André Baptista, cofundador e CTO da Ethiack, em entrevista ao SAPO Digital Inside publicada em 3 de junho de 2026, dias depois de a Mozilla ter revelado que o modelo Mythos, da Anthropic, encontrou 271 falhas no Firefox.
O caso Firefox e Mythos
Em abril de 2026, a Mozilla anunciou que o modelo Claude Mythos Preview, desenvolvido pela Anthropic, identificou 271 vulnerabilidades de segurança no Firefox 150. O número impressiona: em colaboração anterior com o modelo Opus 4.6, haviam sido encontradas 22 falhas no Firefox 148. Os resultados foram divulgados em post no blog oficial da Mozilla pelo engenheiro Bobby Holley.
Para Baptista, o caso representa um marco. “Pela primeira vez, as empresas de inteligência artificial começaram a ocupar também o espaço da cibersegurança e da ciberdefesa”, afirmou ao SAPO. O CTO da Ethiack destacou que a utilização destes modelos permitiu identificar centenas de vulnerabilidades que anteriormente tinham passado despercebidas.
Os resultados, contudo, não surpreenderam quem trabalha na área. “Para quem trabalha na cibersegurança há vários anos, era uma evolução previsível”, disse Baptista, observando que os modelos anteriores já conseguiam encontrar falhas quando utilizados com esse objetivo.
A ilusão da completude
Um dos alertas centrais da entrevista é o risco de as organizações tratarem a IA como solução definitiva. “Existe o risco das organizações acreditarem que estes modelos funcionam como uma espécie de ‘varinha de condão’. Não funcionam”, afirmou Baptista.
Segundo o CTO da Ethiack, os modelos não analisam toda a superfície de ataque de uma organização nem conseguem, por si só, antecipar todos os cenários de risco. Muitos dos problemas que afetam as organizações não são vulnerabilidades comuns — existem sistemas esquecidos, aplicações desenvolvidas internamente, software de terceiros e infraestruturas específicas que continuam a exigir análise especializada humana.
A Mozilla reforçou essa visão em seu relatório: embora o Mythos Preview tenha se mostrado tão capaz quanto pesquisadores de elite, a empresa não identificou categorias de vulnerabilidade que humanos encontrassem e a IA não pudesse detectar — nem o inverso. A tecnologia amplia o alcance, mas não reescreve as regras do jogo.
Corrigir falhas é o gargalo
Se a descoberta de vulnerabilidades foi acelerada, a correção continua lenta. Baptista enfatizou que as equipas de segurança já enfrentavam dificuldades para gerir e priorizar grandes volumes de vulnerabilidades antes desta geração de modelos.
“Nem todas as vulnerabilidades têm o mesmo impacto. É fundamental distinguir as críticas das menos relevantes para que as equipas consigam concentrar recursos onde o risco é maior”, explicou. O problema se agrava quando a IA gera milhares de resultados em semanas, volume que nenhuma equipe consegue processar sem triagem rigorosa.
A Mozilla viveu esse desafio em primeira mão. Segundo Holley, a equipe precisou “repriorizar tudo” e dedicar foco total à correção das falhas encontradas pelo Mythos no Firefox. A experiência mostra que, sem processos de priorização claros, o volume de descobertas pode paralisar equipes em vez de protegê-las.
| Aspecto | Antes da IA (pré-2026) | Com modelos como Mythos |
|---|---|---|
| Descoberta de falhas | Manual + fuzzing, limitada por especialistas | Automatizada em escala, centenas de falhas por avaliação |
| Velocidade de identificação | Semanas a meses por falha complexa | Dias para analisar bases inteiras de código |
| Correção de vulnerabilidades | Gargalo já existente | Gargalo amplificado pelo volume de achados |
| Priorização | Baseada em CVSS e análise manual | Exige triagem ainda mais rigorosa e automatizada |
| Cobertura de superfície | Parcial, focada em componentes críticos | Ampla, mas não abrange sistemas internos específicos |
| Papel humano | Pesquisa, exploração e correção | Validação, priorização e decisão estratégica |
IA amplifica, não substitui
Baptista rejeita a narrativa de que a IA vai substituir profissionais de cibersegurança. “Vejo a IA sobretudo como uma tecnologia de amplificação das capacidades humanas. A confiança continua a ser essencial”, declarou. Em áreas como a cibersegurança, é necessário haver supervisão humana, validação e tomada de decisão por profissionais experientes.
A Ethiack, empresa cofundada por Baptista, adota essa abordagem na prática. “Uma plataforma como a nossa combina inteligência artificial com processos determinísticos, regras de segurança, mecanismos de controlo e validações específicas para testes de penetração”, explicou o CTO.
A mudança afeta a natureza do trabalho. As equipas passam a dedicar mais tempo à revisão, validação e gestão do risco, e menos tempo a tarefas repetitivas de busca manual. Essa transição exige requalificação profissional e adaptação de processos internos.
Novas competências em foco
O mercado de trabalho em cibersegurança está em transformação. Baptista destacou que o conhecimento técnico, a capacidade de trabalhar em equipe e a experiência prática continuam valorizados, mas uma nova competência se tornou central: a capacidade de utilizar inteligência artificial de forma eficaz no trabalho diário.
“Quem conseguir integrar estas ferramentas no seu trabalho diário terá uma vantagem significativa”, afirmou. Na Ethiack, já procuram profissionais capazes de ampliar as próprias capacidades através da IA.
O movimento não se limita ao setor privado. A descoberta de vulnerabilidades em projetos de código aberto, como o Firefox, deve ser vista como positivo, segundo Baptista: “É preferível descobrir as vulnerabilidades e corrigi-las do que ignorá-las. O software open source beneficia desta capacidade porque permite que os problemas sejam identificados e resolvidos mais rapidamente.”
O que muda agora
A cibersegurança está passando por uma mudança de paradigma nos conselhos de administração. “Historicamente, a cibersegurança era vista como um custo. Felizmente, essa mentalidade está a mudar”, observou Baptista. Os conselhos passam a receber métricas concretas sobre risco digital e compreendem melhor o impacto financeiro de incidentes.
Apesar dos avanços, Baptista alerta que ainda existe muito trabalho pela frente. Os relatórios recentes mostram que a exploração de vulnerabilidades se tornou um dos principais fatores por trás de vazamentos de dados, enquanto as superfícies de ataque das organizações continuam crescendo — com ativos expostos desconhecidos, dependências de fornecedores externos e sistemas críticos que não podem ser interrompidos.
A mensagem central do CTO da Ethiack é clara: a IA trouxe capacidade sem precedentes para encontrar falhas, mas a segurança digital depende de estratégia, priorização, investimentos e supervisão humana. Como Baptista resume: “As organizações têm feito progressos, mas a velocidade dos atacantes continua a ser uma preocupação séria.”
Fontes
- “A IA pode encontrar vulnerabilidades, mas continua longe de resolver todos os problemas de segurança” — SAPO Digital Inside, entrevista com André Baptista, 3 jun 2026
- “The zero-days are numbered” — Bobby Holley, Mozilla Blog, 21 abr 2026
- “Anthropic’s Secret AI Found 271 Security Bugs in Firefox” — Nexairi, abr 2026