La IA Claude Mythos de Anthropic Encuentra 271 Vulnerabilidades en Firefox—Sí, Es Muy Poderosa

Durante décadas, los atacantes han tenido la ventaja en ciberseguridad. La inteligencia artificial podría estar a punto de cambiar eso.

En un blog post publicado el martes, Mozilla, el desarrollador del navegador Firefox, señaló que una versión preliminar del modelo Claude Mythos AI de Anthropic —que ha generado atención en las últimas semanas por sus supuestas capacidades en ciberseguridad— ayudó a identificar 271 vulnerabilidades en el navegador durante pruebas internas. Esos errores fueron corregidos esta semana.

Los resultados destacan cómo los sistemas de IA avanzados pueden analizar grandes bases de código y detectar debilidades que anteriormente requerían una extensa revisión manual por parte de investigadores de ciberseguridad.

"A medida que estas capacidades llegan a manos de más defensores, muchos otros equipos están experimentando el mismo vértigo que sentimos cuando los hallazgos comenzaron a tomar forma", escribió Mozilla. "Para un objetivo blindado, tan solo un bug de este tipo habría sido una alerta máxima en 2025, y tener tantos a la vez te hace preguntarte si es siquiera posible mantenerse al día".

Mozilla había probado anteriormente otro modelo de Anthropic que identificó 22 errores sensibles en materia de seguridad en una versión anterior de Firefox. A pesar de estos logros, Mozilla reconoció que la industria de la ciberseguridad ha considerado durante mucho tiempo la eliminación total de los exploits de software como un "objetivo poco realista".

"Hasta ahora, la industria ha librado en gran medida la batalla de la seguridad en un empate", escribió la compañía. "Los proveedores de software crítico expuesto a internet, como Firefox, toman la seguridad muy en serio y cuentan con equipos de personas que cada mañana se levantan pensando en cómo mantener seguros a los usuarios".

Mozilla afirmó que el nuevo sistema de IA puede analizar código fuente e identificar vulnerabilidades de formas que antes dependían de la escasa experiencia humana. Sin embargo, la empresa se mostró alentada al comprobar que no se encontraron errores que no pudieran haber sido descubiertos por "un investigador humano de élite".

"Algunos analistas predicen que los futuros modelos de IA descubrirán formas completamente nuevas de vulnerabilidades que desafían nuestra comprensión actual, pero nosotros no lo creemos", agregaron. "Software como Firefox está diseñado de forma modular para que los humanos puedan razonar sobre su corrección. Es complejo, pero no arbitrariamente complejo".

Sin embargo, los resultados sugieren que las herramientas de IA podrían permitir a los desarrolladores descubrir grandes cantidades de vulnerabilidades antes de que los atacantes las exploten, aunque, en manos equivocadas, esto podría representar un gran problema para las empresas de software y sus usuarios.

Lanzado en marzo, Mythos es el modelo más avanzado de Anthropic para tareas de razonamiento, programación y ciberseguridad. Los materiales internos de la compañía describen el sistema como parte de un nuevo nivel de modelo que va más allá de su anterior serie Opus.

Las pruebas realizadas antes del lanzamiento del modelo mostraron que podía identificar miles de vulnerabilidades previamente desconocidas en los principales sistemas operativos y navegadores web.

Anthropic ha limitado el acceso al sistema a través de un programa restringido llamado Project Glasswing, que otorga a determinadas empresas tecnológicas —entre ellas Amazon, Apple y Microsoft— la capacidad de usar el modelo para analizar software en busca de vulnerabilidades. Esto refleja un esfuerzo creciente dentro de la industria de la ciberseguridad por utilizar sistemas de IA para identificar y corregir vulnerabilidades antes de que los atacantes puedan explotarlas.

Sin embargo, la misma tecnología también podría habilitar nuevas formas de ciberataques. Investigadores de seguridad señalan que los sistemas de IA capaces de analizar código a escala podrían automatizar el descubrimiento de vulnerabilidades explotables en software de uso generalizado.

Tras el lanzamiento de Mythos, pruebas realizadas por el Instituto de Seguridad de IA del Reino Unido revelaron que la IA podía ejecutar de forma autónoma operaciones cibernéticas complejas, incluyendo la realización de una simulación de ataque a una red corporativa en múltiples etapas sin asistencia humana. Estas capacidades han atraído la atención de gobiernos y agencias de inteligencia por igual.

A pesar del llamado de la administración del presidente Donald Trump a dejar de utilizar la tecnología de Anthropic debido a un conflicto sobre su uso en asuntos bélicos y de vigilancia, el lunes se reveló que la Agencia de Seguridad Nacional ejecutaba Claude Mythos Preview en redes clasificadas, según fuentes familiarizadas con el despliegue. El uso de Mythos subraya el creciente interés de las agencias de seguridad estadounidenses en la capacidad del modelo para identificar vulnerabilidades críticas en software.

El desempeño del modelo también ha expuesto las limitaciones de los sistemas de evaluación de IA existentes. A principios de este mes, Anthropic reconoció que varios benchmarks de ciberseguridad ya no son suficientes para medir las capacidades de sus modelos más recientes.

Mozilla señaló que los resultados apuntan a un posible cambio en la ciberseguridad, donde los defensores podrían comenzar a cerrar la ventaja que los atacantes han mantenido durante tanto tiempo.

"Estamos extremadamente orgullosos de cómo nuestro equipo asumió este desafío, y otros también lo harán", escribió Mozilla. "Nuestro trabajo no ha terminado, pero hemos dado un giro y podemos vislumbrar un futuro mucho mejor que simplemente mantenernos al día. Los defensores finalmente tienen la oportunidad de ganar, de manera decisiva".

Mozilla no respondió de inmediato a una solicitud de comentarios de Decrypt.