Fm Golfo Azul Villa Pehuenia
Hace un año, Mozilla corrigió 31 fallos de seguridad en su navegador Firefox.En abril de 2026 ha corregido 423. El crecimiento es espectacular y tiene un responsable único: Claude Mythos Preview, el modelo de IA que Anthropic decidió no lanzar públicamente por considerarlo demasiado capaz. El reciente análisis de los expertos de Mozilla ha confirmado más que nunca que lo de Mythos no era solo hype.
La IA lo ve todo. La integración de Mythos en el proceso de análisis de las vulnerabilidades de Firefox ha provocado una especie de explosión de «limpieza» técnica. No es que el código de Firefox sea peor ahora, sino que los ojos que lo analizan son mucho más agudos y parecen verlo todo. La gráfica de Mozilla es contundente: con la ayuda de Claude Mythos el equipo de Firefox encontró más fallos de seguridad en abril que en los pasados 15 meses de forma combinada.
Olfato. El modelo no solo es más rápido a la hora de detectar esos fallos, sino que tiene cierto «olfato» que supera todo lo visto hasta ahora en herramientas comerciales. La herramienta de IA fue capaz de identificar 271 de los 423 fallos corregidos, y esa cifra palidece ante otros métodos tradicionales como el fuzzing o la inspección manual. Mythos ha demostrado qu epuede evaluar su propio trabajo y filtrar el ruido, razonando de forma recursiva y descartando alucinaciones.
Errores arqueológicos. Entre los descubrimientos más sorprendentes que han descubierto en este proceso está un error en el motor XSLT (bug 2025977) que llevaba la friolera de 20 años presente en el navegador. Mythos también desenterró un problema de 15 años atrás con el elemento «<legend>» de HTML que solo se podía aprovechar mediante una compleja combinación de casos extremos para activarse. La IA no solo encuentra fallos «típicos», sino que logra precisamente eso: combinar todo tipo de acciones para encontrar fallos que serían casi imposibles de detectar de formas tradicionales.
Parches humanos. Mozilla ha sido no obstante clara en algo importante: todavía no usan la IA para escribir el código definitivo que acaba desplegándose en la versión del navegador que utilizamos los usuarios. Sí que le piden a Mythos que sugiera cómo parchear el problema, pero los ingenieros han detetado que esas propuestas son a menudo modelos conceptuales que no están listos para entornos de producción. En cada uno de los 423 parches realizados, hubo al menos un ingeniero humano que escribió el parche y otro que lo revisó. La IA es el detector de élite, pero todavía no sustituye a un desarrollador sénior en este caso.
Un futuro esperanzador (para Amodei). En un evento reciente, el CEO de Anthropic, Dario Amodei, se mostró optimista y destacó que estas nuevas herramientas favorecen en último término a los defensores de la ciberseguridad. «Si gestionamos esto de la forma adecuada, podríamos estar en mejor posición que la inicial, porque hemos corregido todos estos errores. Solo hay un número finito de errores que encontrar, así que creo que hay un mundo mejor a la vista».
En Mozilla no lo tienen tan claro. Brian Grinstead, ingeniero distinguido de Mozilla, tiene una visión más pragmática y cautelosa. Él coincide en que tener estas opciones disponibles es ligeramente más ventajoso para los defensores. Sin embargo advierte de que es muy probable que los atacantes ya estén usando técnicas similares con modelos propios. La carrera no será tanto quién encuentra el bug, sino quién lo logra antes.
La IA como parte del proceso. El plan inmediato de Mozilla no consiste únicamente en analizar código ya publiado, sino integrar este análisis en el proceso de desarrollo software en tiempo real. O lo que es lo mismo: cada vez que se «pique» una nueva línea de código, analizar cómo eso puede introducir vulnerabilidades. Firefox 150 se postula como la versión más segura del navegador hasta la fecha, y todo gracias a ese trabajo entre los ingenieros humanos y la capacidad de cómputo de Anthropic.
De profesión, cazarrecompensas de bugs informáticos
¿El fin de los cazarrecompensas? El auge de Mythos como gran detector de vulnerabilidaes puede poner en peligro uno de las profesiones tradicionalmente más especializadas del mundo: los cazarrecompensas de bugs. Los célebres ‘bug bounty‘ que animaban a los expertos humanos a detectar nuevos fallos y les premiaban con suculentos premios económicos podrían dejar de tener sentido ante el uso de herramietnas como Claude Mythos.
En Xataka | Durante décadas, Linux se ha ganado la reputación de ser un sistema operativo «blindado». Hasta ahora
–
La noticia
El hype por Claude Mythos comienza a justificarse: Firefox encontró y corrigió más fallos de seguridad en un mes que en los 15 meses previos
fue publicada originalmente en
Xataka
por
Javier Pastor
.
