En un hito sin precedentes, el nuevo modelo "Mythos" de Anthropic logró identificar en semanas lo que a un equipo humano le habría tomado años, obligando a Mozilla a un parcheo masivo antes del lanzamiento de su última versión.
Por: MSB
La era en la que los investigadores de seguridad humanos eran los únicos capaces de razonar sobre código complejo ha terminado. Mozilla ha revelado que Firefox 150, lanzado esta semana, incluye parches para 271 vulnerabilidades descubiertas por Claude Mythos, el modelo de IA más avanzado de Anthropic orientado a la ciberseguridad.
La cifra es devastadora si se compara con los estándares actuales: en una prueba previa realizada a principios de año con el modelo Claude 4.6, "solo" se hallaron 22 errores. El salto a 271 demuestra que la IA ha alcanzado un nivel de razonamiento que Mozilla califica como equivalente al de los "investigadores de seguridad de élite".
Un "vertigo" tecnológico para MozillaBobby Holley, Director de Tecnología de Firefox, describió la experiencia de trabajar con Mythos como algo que produce "vértigo". Según Holley, el modelo no solo encontró fallos lógicos que las herramientas automáticas tradicionales (fuzzers) suelen pasar por alto, sino que lo hizo a una escala que desbordó inicialmente a los ingenieros de la compañía.
"No hemos visto ningún error que no pudiera haber sido hallado por un humano experto", aclaró Mozilla en su blog oficial. "El punto es que ningún equipo humano podría haber encontrado 271 de ellos tan rápido".
El fin de la ventaja del atacanteTradicionalmente, la seguridad ha sido un juego de asimetría: un atacante con millones de dólares y meses de tiempo podía permitirse buscar un solo error crítico "enterrado" en millones de líneas de código. Con Mythos, esa búsqueda se vuelve "barata" y casi instantánea para los defensores.
Sin embargo, el hallazgo tiene una cara oscura. Si esta herramienta cae en manos de actores de amenazas antes de que las empresas puedan integrar defensas similares, el ecosistema de software global podría enfrentarse a una oleada de ataques imposibles de contener manualmente. De hecho, el modelo Mythos permanece bajo acceso restringido mediante el programa Project Glasswing debido a su peligrosidad potencial.
Detalles técnicos: Menos CVEs, más seguridadAunque se identificaron 271 vulnerabilidades, el boletín oficial de seguridad de Firefox 150 solo menciona explícitamente tres CVEs (vulnerabilidades críticas registradas) atribuidas a la IA (CVE-2026-6746, 6757 y 6758). Esto se debe a que la gran mayoría de los hallazgos de Mythos fueron:
Fallos de endurecimiento: Debilidades que por sí solas no son explotables pero que facilitan un ataque.
Higiene de código: Errores lógicos en rutas de código que no son accesibles actualmente pero que podrían serlo en el futuro.
Encadenamiento de exploits: Mythos demostró ser capaz de combinar varios errores de baja prioridad para crear una brecha de seguridad crítica.
Para Mozilla, este descubrimiento no es una señal de que Firefox sea inseguro, sino de que el software por fin tiene una oportunidad real de "limpiar la casa". La compañía cree que estamos ante el principio del fin de los zero-days, prediciendo un futuro cercano donde la IA encuentre todos los fallos posibles antes de que el código llegue siquiera al usuario final.
Por ahora, Firefox 150 se posiciona como una de las versiones más seguras y profundamente analizadas en la historia del navegador, gracias a un "ojo" artificial que no descansa y que, al parecer, no pasa nada por alto.