La seguridad del software lleva años evolucionando a medida que los sistemas se vuelven más complejos, pero la llegada de modelos de inteligencia artificial capaces de analizar grandes bases de código introduce un nuevo elemento en esa ecuación. En ese contexto, Firefox se ha convertido recientemente en uno de los ejemplos más ilustrativos de cómo estas herramientas pueden cambiar la forma en que se descubren y corrigen vulnerabilidades, tras una colaboración entre Mozilla y Anthropic que ha puesto a prueba hasta qué punto los modelos actuales pueden actuar como investigadores de seguridad automatizados.
El experimento se llevó a cabo utilizando Claude Opus 4.6, uno de los modelos más avanzados de Anthropic, al que se le encomendó analizar distintas partes del código del navegador. Según los detalles publicados por la compañía y por Mozilla, el sistema identificó su primer fallo crítico apenas veinte minutos después de comenzar el análisis, localizando una vulnerabilidad en el motor JavaScript de Firefox. Ese primer hallazgo correspondía a un error del tipo Use After Free, una clase de vulnerabilidad de memoria que, en determinadas circunstancias, podría permitir a un atacante sobrescribir datos con contenido malicioso.
A partir de ese punto, el proceso de análisis se amplió a otras áreas del navegador. Durante aproximadamente dos semanas de trabajo, el modelo examinó miles de archivos de código —incluyendo cerca de 6.000 archivos en C++— y generó más de un centenar de informes técnicos. Tras la revisión por parte de los ingenieros de Mozilla, el resultado final fue la identificación de 22 vulnerabilidades registradas oficialmente como CVE, de las cuales 14 fueron catalogadas como de alta gravedad, además de otros 90 fallos adicionales de menor severidad. Todos estos problemas fueron corregidos en la versión Firefox 148.
Uno de los aspectos más llamativos del experimento es el tipo de errores que la IA fue capaz de detectar. Muchos de los bugs descubiertos coincidían con fallos que tradicionalmente se encuentran mediante técnicas automáticas como el fuzzing, que somete al software a grandes cantidades de entradas inesperadas para provocar fallos. Sin embargo, el modelo también logró identificar errores lógicos complejos que no habían sido detectados previamente por esos sistemas, lo que sugiere que el análisis asistido por IA puede complementar herramientas de seguridad ya existentes en proyectos de gran tamaño y madurez como Firefox.

Para entender hasta dónde podían llegar estas capacidades, Anthropic llevó el experimento un paso más allá y probó si el modelo también podía convertir las vulnerabilidades detectadas en exploits funcionales, es decir, en ataques capaces de ejecutar acciones maliciosas. Tras cientos de intentos y un gasto aproximado de 4.000 dólares en créditos de API, Claude solo consiguió generar exploits rudimentarios en dos casos concretos, y además en entornos de prueba donde se habían desactivado algunas protecciones clave del navegador, como el sistema de sandbox que limita el impacto de este tipo de fallos.
El resultado pone de manifiesto una diferencia importante: descubrir vulnerabilidades es hoy mucho más sencillo y barato que explotarlas automáticamente, al menos con las capacidades actuales de los modelos de IA. Sin embargo, también refleja la doble cara de esta tecnología. Las mismas herramientas que pueden ayudar a desarrolladores y equipos de seguridad a localizar fallos con mayor rapidez también son empleadas por actores maliciosos para la creación de exploits. En otras palabras, la inteligencia artificial es, al mismo tiempo, una poderosa herramienta defensiva y un acelerador de nuevas amenazas.
El caso de Firefox ilustra bien este nuevo escenario. Incluso en un proyecto abierto y ampliamente auditado durante décadas, el análisis asistido por IA ha sido capaz de descubrir fallos que habían pasado desapercibidos hasta ahora. Para Mozilla, el experimento demuestra el valor de integrar estas herramientas en los procesos de seguridad. Pero también sirve como recordatorio de que la carrera entre quienes buscan vulnerabilidades para corregirlas y quienes intentan explotarlas podría acelerarse considerablemente en los próximos años.
 
Más información: Antrophic / Mozilla
La entrada Antrophic detecta 22 vulnerabilidades críticas en Firefox se publicó primero en MuyComputer.