Mozilla endurece Firefox con IA Claude Mythos para corregir vulnerabilidades

Durante años, los informes de seguridad generados por inteligencia artificial eran considerados ruido: parecían plausibles pero resultaban incorrectos, imponiendo un coste asimétrico a los mantenedores de proyectos de código abierto. Sin embargo, Mozilla acaba de demostrar que ese paradigma ha cambiado radicalmente. En una publicación en Mozilla Hacks, el equipo de seguridad de Firefox reveló que, con la ayuda de Claude Mythos Preview y otros modelos de IA, logró identificar y corregir un número récord de vulnerabilidades latentes en el navegador.

¿Qué ha ocurrido?

El 14 de mayo de 2026, Mozilla anunció que había parcheado múltiples fallos de seguridad críticos en Firefox, muchos de ellos descubiertos mediante el uso de Claude Mythos Preview, un modelo de inteligencia artificial de Anthropic. Según el artículo técnico publicado en Mozilla Hacks, la combinación de modelos más capaces y técnicas mejoradas para guiarlos, escalarlos y filtrar el ruido permitió encontrar vulnerabilidades que habían escapado a años de fuzzing y auditorías manuales.

Entre los fallos corregidos se incluyen:

• Bug 2024918: Una comprobación de igualdad incorrecta en el compilador JIT permitía optimizar la inicialización de una estructura WebAssembly GC, creando una primitiva de objeto falso con potencial lectura/escritura arbitraria.
• Bug 2024437: Un error de 15 años en el elemento <legend>, que requería una orquestación meticulosa de casos extremos en partes distantes del navegador.
• Bug 2021894: Una condición de carrera sobre IPC que permitía a un proceso de contenido comprometido manipular contadores de referencia en IndexedDB para lograr un use-after-free y potencial escape de la sandbox.
• Bug 2022034: Un NaN crudo que cruzaba un límite IPC podía hacerse pasar por un puntero de objeto JS, convirtiendo la deserialización de doubles en una primitiva de objeto falso en el proceso padre.
• Bug 2024653: Un caso de prueba intrincado que se entretejía a través de bucles de eventos anidados, listeners de pagehide y recolección de basura para desencadenar un use-after-free en el setter de atributos de elementos <object>.
• Bug 2022733: Un fallo que explotaba una condición de carrera en el manejo de WebGL.

Mozilla publicó una muestra de estos informes en Bugzilla, algo inusual, ya que normalmente se mantienen privados durante meses después de los parches. La decisión responde al interés extraordinario en el tema y a la urgencia de que el ecosistema de software adopte estas técnicas.

¿Por qué es importante?

Este hito marca un antes y un después en la seguridad del software. Hasta hace poco, los informes de vulnerabilidades generados por IA eran en su mayoría desechables. Mozilla demuestra que, con los modelos adecuados y una metodología refinada, la IA puede superar a las técnicas tradicionales de fuzzing y revisión manual en la detección de fallos complejos, incluyendo aquellos que requieren encadenar múltiples condiciones a través de diferentes subsistemas.

El hecho de que se hayan encontrado vulnerabilidades que llevaban 15 años sin ser detectadas subraya las limitaciones de los métodos convencionales. Además, la capacidad de la IA para identificar fallos en componentes críticos como el compilador JIT, el manejo de IPC o la recolección de basura sugiere que ningún software está realmente a salvo sin este tipo de auditoría asistida.

¿Qué consecuencias tendrá?

En el corto plazo, los usuarios de Firefox se benefician de un navegador más seguro. Pero el impacto va más allá: se espera que otros proyectos de código abierto y empresas adopten enfoques similares. Mozilla ya ha compartido recomendaciones para que otros equipos puedan replicar su metodología.

También plantea preguntas sobre el papel de la IA en la seguridad ofensiva. Si los defensores pueden usar IA para encontrar vulnerabilidades, los atacantes también pueden hacerlo. La ventana de oportunidad para parchear antes de que se produzca una explotación masiva se reduce.

Para los desarrolladores, la lección es clara: integrar la IA en el ciclo de desarrollo de seguridad ya no es opcional. Mozilla ha demostrado que el retorno de inversión es inmenso, y que el coste de no hacerlo es dejar vulnerabilidades críticas sin descubrir.

¿Qué deben saber los lectores?

Los usuarios de Firefox deben actualizar a la última versión para protegerse de estas vulnerabilidades. Mozilla ha lanzado parches para todas las versiones compatibles.

Para los profesionales de seguridad, este caso ofrece una hoja de ruta: combinar modelos de IA de última generación con técnicas de filtrado y verificación humanas puede multiplicar la eficacia de los equipos de seguridad. Mozilla utilizó Claude Mythos Preview, pero también otros modelos, y aplicó un proceso de “apilamiento” para generar señales y filtrar ruido.

Finalmente, este avance subraya la importancia de la colaboración entre la comunidad open source y las empresas de IA. Mozilla y Anthropic han trabajado conjuntamente para mejorar la seguridad del ecosistema, un modelo que podría replicarse en otros ámbitos.

“La IA ha pasado de ser una fuente de ruido a una herramienta indispensable para la ciberseguridad. Mozilla marca el camino.”