O Firefox 150 foi enviado essa semana com 271 vulnerabilidades zero-day corrigidas, todas surfaced por Claude Mythos Preview da Anthropic através da colaboração Project Glasswing. O CTO do Firefox Bobby Holley, entrevistado sobre o release, chamou Mythos de "tão capaz quanto os melhores pesquisadores de segurança do mundo." Essa é uma escalada substantiva desde a divulgação de março da Mozilla, quando Claude Opus 4.6 achou 112 bugs e 22 CVEs de segurança (14 de alta severidade) que aterrissaram no Firefox 148.
O salto 271 versus 112 segue o delta de capacidade que a Anthropic publicou no seu relatório red-team de Mythos. No desenvolvimento de exploits JavaScript do Firefox 147, Opus 4.6 produziu 2 exploits funcionais através de várias centenas de tentativas. Mythos produziu 181 na mesma tarefa, aproximadamente 90 vezes a taxa de sucesso. Em termos de produção, isso é o que mais que dobrou a contagem de descoberta de zero-day na escala da Mozilla em um único passo de geração de modelo. As 271 vulnerabilidades estão todas corrigidas no Firefox 150, por isso a Mozilla pode publicar o número. O enquadramento de Holley enfatizou que ferramentas de IA agora podem "cobrir o espaço inteiro de erros indutores de vulnerabilidades" em formas que mudam o que significa enviar software endurecido.
Duas coisas que isso consolida. Um, os números de capacidade da Anthropic que Sam Altman chamou de "marketing baseado no medo" no início dessa semana agora têm um contrapeso direto em produção: um CTO real em um navegador real que envia dizendo que o modelo real achou 271 zero-days reais, todos corrigidos no release que envia para centenas de milhões de usuários. O teste empírico que sinalizei na peça do Altman se moveu mais rápido que doze meses. Dois, o padrão Mozilla-encoraja-submissão-em-massa da colaboração anterior de Opus 4.6 claramente escala sob o throughput nível Mythos. O fluxo (o modelo acha, os humanos verificam, enviam) segurou em 271.
Se você mantém uma base de código C/C++ classe-navegador ou classe-OS, a pergunta prática desse release não é "uma IA poderia achar bugs no meu código?" É "os defensores na minha cadeia de suprimentos têm acesso nível Mythos, e se não, quando terão?" As quarenta organizações parceiras do Project Glasswing agora podem apontar para o Firefox 150 como o estudo de caso concreto do que um defensor verificado com acesso preview pode realizar. A assimetria favorece defensores com acesso, temporariamente. Se você não está nessa lista, a janela para alcançar roda em quanto tempo leva para capacidades equivalentes chegarem ao tier público da Anthropic ou um laboratório chinês de pesos abertos. O multiplicador 90x no desenvolvimento de exploits é o número para assumir, não esperar contra.