Mozilla, el desarrollador de Firefox, reveló que una versión temprana de la IA Claude Mythos de Anthropic identificó 271 vulnerabilidades en el navegador Firefox durante pruebas internas, todas las cuales fueron parchadas esta semana.
Los hallazgos señalan cómo los sistemas avanzados de IA están comenzando a escanear grandes bases de código a una escala que antes dependía de largas horas de trabajo manual por parte de investigadores de ciberseguridad. Mozilla afirmó que incluso los objetivos de software endurecidos ahora podrían examinarse más profundamente en menos tiempo.
“A medida que estas capacidades llegan a manos de más defensores, muchos otros equipos están experimentando el mismo vértigo que nosotros sentimos cuando los hallazgos salieron a la luz por primera vez”, escribió Mozilla. “Para un objetivo endurecido, solo un error de este tipo habría sido una alerta roja en 2025, y tantos a la vez te hacen detenerte a pensar si es posible mantenerse al día.”
Pruebas anteriores utilizando otro modelo de Anthropic habían descubierto 22 errores sensibles a la seguridad en una versión anterior de Firefox. A pesar de ese progreso, Mozilla señaló que eliminar por completo los exploits de software ha sido considerado poco realista durante mucho tiempo.
“Hasta ahora, la industria ha luchado en gran medida por la seguridad hasta un empate”, escribió la compañía. “Los proveedores de software crítico expuesto a internet como Firefox se toman la seguridad extremadamente en serio y tienen equipos de personas que se levantan cada mañana pensando en cómo mantener seguros a los usuarios.”
Mozilla afirmó que el nuevo sistema puede revisar el código fuente y señalar debilidades de maneras que antes requerían una experiencia humana altamente especializada. Los resultados internos mostraron que el modelo no descubrió errores que estuvieran más allá del alcance de los investigadores de primer nivel.
“Algunos comentaristas predicen que futuros modelos de IA desenterrarán formas completamente nuevas de vulnerabilidades que desafían nuestra comprensión actual, pero no lo creemos”, dijo la compañía. “El software como Firefox está diseñado de manera modular para que los humanos puedan razonar sobre su corrección. Es complejo, pero no arbitrariamente complejo.”
Lanzado en marzo, Claude Mythos es descrito por Anthropic como su modelo más avanzado para tareas de razonamiento, codificación y ciberseguridad, posicionado por encima de su serie Opus anterior. Las pruebas previas al lanzamiento sugirieron que podría identificar miles de vulnerabilidades desconocidas en sistemas operativos y navegadores.
El acceso al sistema sigue siendo limitado a través de una iniciativa restringida conocida como Project Glasswing, que permite a empresas seleccionadas, incluyendo Amazon, Apple y Microsoft, escanear software en busca de fallos de seguridad.
Investigadores de seguridad advierten que la misma capacidad podría usarse ofensivamente. Las herramientas de IA que pueden analizar código a gran escala también pueden automatizar el descubrimiento de errores explotables en sistemas de software ampliamente utilizados.
Las pruebas realizadas por el Instituto de Seguridad de IA del Reino Unido mostraron que el modelo podía llevar a cabo operaciones cibernéticas complejas por sí solo, incluyendo la finalización de una simulación de ataque a una red corporativa de varias etapas sin intervención humana. Esos resultados han atraído la atención de gobiernos y agencias de inteligencia.
A pesar de las tensiones anteriores con la administración de Donald Trump sobre el uso de la tecnología de Anthropic, la Agencia de Seguridad Nacional ha desplegado Claude Mythos Preview en redes clasificadas, según personas familiarizadas con el asunto. La medida señala un creciente interés entre las agencias estadounidenses en herramientas de IA que pueden detectar vulnerabilidades críticas de software.
Anthropic también ha reconocido que los puntos de referencia actuales de ciberseguridad están luchando por mantenerse al día con sus últimos modelos, lo que plantea preguntas sobre cómo medir el rendimiento de la IA en este campo.
Mozilla afirmó que los resultados sugieren un posible punto de inflexión, donde los defensores pueden comenzar a reducir la brecha de larga data con los atacantes.
“Estamos extremadamente orgullosos de cómo nuestro equipo se levantó para afrontar este desafío, y otros también lo harán”, escribió la compañía.
“Nuestro trabajo no ha terminado, pero hemos doblado la esquina y podemos vislumbrar un futuro mucho mejor que simplemente mantener el ritmo. Los defensores finalmente tienen la oportunidad de ganar, decisivamente.”
